這里以mysql的官方鏡像為例進行說明,主要流程為:
1. 分析鏡像存在的安全漏洞具體是什么
2. 根據分析結果有針對性地進行修復處理
3. 基于當前鏡像進行修復安全漏洞并復核驗證
# 鏡像地址mysql:8.0.42安全漏洞現狀分析
dockerhub網站上獲取該鏡像的漏洞信息:
從上圖中可知道安全漏洞存在于golang/stdlib 包,總共有59個安全漏洞,該漏洞信息未必就是最新的,因此下面我這里使用trivy工具掃描結果如下:
trivy image mysql:8.0.42
2025-04-19T22:43:32+08:00 INFO [vuln] Vulnerability scanning is enabled
2025-04-19T22:43:32+08:00 INFO [secret] Secret scanning is enabled
2025-04-19T22:43:32+08:00 INFO [secret] If your scanning is slow, please try '--scanners vuln' to disable secret scanning
2025-04-19T22:43:32+08:00 INFO [secret] Please see also https://trivy.dev/v0.61/docs/scanner/secret#recommendation for faster secret detection
2025-04-19T22:43:32+08:00 INFO Detected OS family="oracle" version="9.5"
2025-04-19T22:43:32+08:00 INFO [oracle] Detecting vulnerabilities... os_version="9" pkg_num=114
2025-04-19T22:43:32+08:00 INFO Number of language-specific files num=2
2025-04-19T22:43:32+08:00 INFO [gobinary] Detecting vulnerabilities...
2025-04-19T22:43:32+08:00 INFO [python-pkg] Detecting vulnerabilities...
2025-04-19T22:43:32+08:00 WARN Using severities from other vendors for some vulnerabilities. Read https://trivy.dev/v0.61/docs/scanner/vulnerability#severity-selection for details.Report Summary┌──────────────────────────────────────────────────────────────────────────────────┬────────────┬─────────────────┬─────────┐
│ Target │ Type │ Vulnerabilities │ Secrets │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ mysql:8.0.42 (oracle 9.5) │ oracle │ 0 │ - │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/PyNaCl-1.5.0.dist-info/METADATA │ python-pkg │ 0 │ - │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/PyYAML-6.0.1.dist-info/METADATA │ python-pkg │ 0 │ - │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/antlr4_python3_runtime-4.13.1.dist- │ python-pkg │ 0 │ - │
│ -info/METADATA │ │ │ │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/bcrypt-4.1.3.dist-info/METADATA │ python-pkg │ 0 │ - │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/certifi-2025.1.31.dist-info/METADA- │ python-pkg │ 0 │ - │
│ TA │ │ │ │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/cffi-1.17.1.dist-info/METADATA │ python-pkg │ 0 │ - │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/circuitbreaker-2.0.0.dist-info/MET- │ python-pkg │ 0 │ - │
│ ADATA │ │ │ │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/cryptography-44.0.1.dist-info/META- │ python-pkg │ 0 │ - │
│ DATA │ │ │ │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/oci-2.145.0.dist-info/METADATA │ python-pkg │ 0 │ - │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/paramiko-3.4.0.dist-info/METADATA │ python-pkg │ 0 │ - │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/pip-24.2.dist-info/METADATA │ python-pkg │ 0 │ - │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/pkg_resources/tests/data/my-test-p- │ python-pkg │ 0 │ - │
│ ackage_unpacked-egg/my_test_package-1.0-py3.7.egg/EGG-INFO/PKG-INFO │ │ │ │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/pkg_resources/tests/data/my-test-p- │ python-pkg │ 0 │ - │
│ ackage_zipped-egg/my_test_package-1.0-py3.7.egg │ │ │ │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/pyOpenSSL-24.3.0.dist-info/METADATA │ python-pkg │ 0 │ - │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/pycparser-2.22.dist-info/METADATA │ python-pkg │ 0 │ - │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/python_dateutil-2.9.0.post0.dist-i- │ python-pkg │ 0 │ - │
│ nfo/METADATA │ │ │ │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/pytz-2025.1.dist-info/METADATA │ python-pkg │ 0 │ - │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/setuptools-73.0.1.dist-info/METADA- │ python-pkg │ 0 │ - │
│ TA │ │ │ │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/setuptools/_vendor/autocommand-2.2- │ python-pkg │ 0 │ - │
│ .2.dist-info/METADATA │ │ │ │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/setuptools/_vendor/backports.tarfi- │ python-pkg │ 0 │ - │
│ le-1.2.0.dist-info/METADATA │ │ │ │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/setuptools/_vendor/importlib_metad- │ python-pkg │ 0 │ - │
│ ata-8.0.0.dist-info/METADATA │ │ │ │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/setuptools/_vendor/importlib_resou- │ python-pkg │ 0 │ - │
│ rces-6.4.0.dist-info/METADATA │ │ │ │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/setuptools/_vendor/inflect-7.3.1.d- │ python-pkg │ 0 │ - │
│ ist-info/METADATA │ │ │ │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/setuptools/_vendor/jaraco.context-- │ python-pkg │ 0 │ - │
│ 5.3.0.dist-info/METADATA │ │ │ │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/setuptools/_vendor/jaraco.functool- │ python-pkg │ 0 │ - │
│ s-4.0.1.dist-info/METADATA │ │ │ │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/setuptools/_vendor/jaraco.text-3.1- │ python-pkg │ 0 │ - │
│ 2.1.dist-info/METADATA │ │ │ │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/setuptools/_vendor/more_itertools-- │ python-pkg │ 0 │ - │
│ 10.3.0.dist-info/METADATA │ │ │ │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/setuptools/_vendor/packaging-24.1.- │ python-pkg │ 0 │ - │
│ dist-info/METADATA │ │ │ │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/setuptools/_vendor/platformdirs-4.- │ python-pkg │ 0 │ - │
│ 2.2.dist-info/METADATA │ │ │ │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/setuptools/_vendor/tomli-2.0.1.dis- │ python-pkg │ 0 │ - │
│ t-info/METADATA │ │ │ │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/setuptools/_vendor/typeguard-4.3.0- │ python-pkg │ 0 │ - │
│ .dist-info/METADATA │ │ │ │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/setuptools/_vendor/typing_extensio- │ python-pkg │ 0 │ - │
│ ns-4.12.2.dist-info/METADATA │ │ │ │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/setuptools/_vendor/wheel-0.43.0.di- │ python-pkg │ 0 │ - │
│ st-info/METADATA │ │ │ │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/setuptools/_vendor/zipp-3.19.2.dis- │ python-pkg │ 0 │ - │
│ t-info/METADATA │ │ │ │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/six-1.17.0.dist-info/METADATA │ python-pkg │ 0 │ - │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/typing_extensions-4.12.2.dist-info- │ python-pkg │ 0 │ - │
│ /METADATA │ │ │ │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/local/bin/gosu │ gobinary │ 59 │ - │
└──────────────────────────────────────────────────────────────────────────────────┴────────────┴─────────────────┴─────────┘
Legend:
- '-': Not scanned
- '0': Clean (no security findings detected)usr/local/bin/gosu (gobinary)Total: 59 (UNKNOWN: 0, LOW: 1, MEDIUM: 24, HIGH: 31, CRITICAL: 3)┌─────────┬────────────────┬──────────┬────────┬───────────────────┬──────────────────────────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │
├─────────┼────────────────┼──────────┼────────┼───────────────────┼──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ stdlib │ CVE-2023-24538 │ CRITICAL │ fixed │ v1.18.2 │ 1.19.8, 1.20.3 │ golang: html/template: backticks not treated as string │
│ │ │ │ │ │ │ delimiters │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-24538 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-24540 │ │ │ │ 1.19.9, 1.20.4 │ golang: html/template: improper handling of JavaScript │
│ │ │ │ │ │ │ whitespace │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-24540 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-24790 │ │ │ │ 1.21.11, 1.22.4 │ golang: net/netip: Unexpected behavior from Is methods for │
│ │ │ │ │ │ │ IPv4-mapped IPv6 addresses │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-24790 │
│ ├────────────────┼──────────┤ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-27664 │ HIGH │ │ │ 1.18.6, 1.19.1 │ golang: net/http: handle server errors after sending GOAWAY │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-27664 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-28131 │ │ │ │ 1.17.12, 1.18.4 │ golang: encoding/xml: stack exhaustion in Decoder.Skip │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-28131 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-2879 │ │ │ │ 1.18.7, 1.19.2 │ golang: archive/tar: github.com/vbatts/tar-split: unbounded │
│ │ │ │ │ │ │ memory consumption when reading headers │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-2879 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-2880 │ │ │ │ │ golang: net/http/httputil: ReverseProxy should not forward │
│ │ │ │ │ │ │ unparseable query parameters │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-2880 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-29804 │ │ │ │ 1.17.11, 1.18.3 │ ELSA-2022-17957: ol8addon security update (IMPORTANT) │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-29804 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-30580 │ │ │ │ │ golang: os/exec: Code injection in Cmd.Start │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-30580 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-30630 │ │ │ │ 1.17.12, 1.18.4 │ golang: io/fs: stack exhaustion in Glob │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-30630 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-30631 │ │ │ │ │ golang: compress/gzip: stack exhaustion in Reader.Read │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-30631 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-30632 │ │ │ │ │ golang: path/filepath: stack exhaustion in Glob │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-30632 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-30633 │ │ │ │ │ golang: encoding/xml: stack exhaustion in Unmarshal │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-30633 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-30634 │ │ │ │ 1.17.11, 1.18.3 │ ELSA-2022-17957: ol8addon security update (IMPORTANT) │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-30634 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-30635 │ │ │ │ 1.17.12, 1.18.4 │ golang: encoding/gob: stack exhaustion in Decoder.Decode │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-30635 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-32189 │ │ │ │ 1.17.13, 1.18.5 │ golang: math/big: decoding big.Float and big.Rat types can │
│ │ │ │ │ │ │ panic if the encoded... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-32189 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-41715 │ │ │ │ 1.18.7, 1.19.2 │ golang: regexp/syntax: limit memory used by parsing regexps │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-41715 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-41716 │ │ │ │ 1.18.8, 1.19.3 │ Due to unsanitized NUL values, attackers may be able to │
│ │ │ │ │ │ │ maliciously se... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-41716 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-41720 │ │ │ │ 1.18.9, 1.19.4 │ golang: os, net/http: avoid escapes from os.DirFS and │
│ │ │ │ │ │ │ http.Dir on Windows │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-41720 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-41722 │ │ │ │ 1.19.6, 1.20.1 │ golang: path/filepath: path-filepath filepath.Clean path │
│ │ │ │ │ │ │ traversal │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-41722 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-41723 │ │ │ │ │ golang.org/x/net/http2: avoid quadratic complexity in HPACK │
│ │ │ │ │ │ │ decoding │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-41723 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-41724 │ │ │ │ │ golang: crypto/tls: large handshake records may cause panics │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-41724 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-41725 │ │ │ │ │ golang: net/http, mime/multipart: denial of service from │
│ │ │ │ │ │ │ excessive resource consumption │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-41725 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-24534 │ │ │ │ 1.19.8, 1.20.3 │ golang: net/http, net/textproto: denial of service from │
│ │ │ │ │ │ │ excessive memory allocation │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-24534 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-24536 │ │ │ │ │ golang: net/http, net/textproto, mime/multipart: denial of │
│ │ │ │ │ │ │ service from excessive resource consumption │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-24536 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-24537 │ │ │ │ │ golang: go/parser: Infinite loop in parsing │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-24537 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-24539 │ │ │ │ 1.19.9, 1.20.4 │ golang: html/template: improper sanitization of CSS values │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-24539 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-29400 │ │ │ │ │ golang: html/template: improper handling of empty HTML │
│ │ │ │ │ │ │ attributes │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-29400 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-29403 │ │ │ │ 1.19.10, 1.20.5 │ golang: runtime: unexpected behavior of setuid/setgid │
│ │ │ │ │ │ │ binaries │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-29403 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-39325 │ │ │ │ 1.20.10, 1.21.3 │ golang: net/http, x/net/http2: rapid stream resets can cause │
│ │ │ │ │ │ │ excessive work (CVE-2023-44487) │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-39325 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-45283 │ │ │ │ 1.20.11, 1.21.4, 1.20.12, 1.21.5 │ The filepath package does not recognize paths with a \??\ │
│ │ │ │ │ │ │ prefix as... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-45283 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-45287 │ │ │ │ 1.20.0 │ golang: crypto/tls: Timing Side Channel attack in RSA based │
│ │ │ │ │ │ │ TLS key exchanges.... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-45287 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-45288 │ │ │ │ 1.21.9, 1.22.2 │ golang: net/http, x/net/http2: unlimited number of │
│ │ │ │ │ │ │ CONTINUATION frames causes DoS │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-45288 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-34156 │ │ │ │ 1.22.7, 1.23.1 │ encoding/gob: golang: Calling Decoder.Decode on a message │
│ │ │ │ │ │ │ which contains deeply nested structures... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-34156 │
│ ├────────────────┼──────────┤ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-1705 │ MEDIUM │ │ │ 1.17.12, 1.18.4 │ golang: net/http: improper sanitization of Transfer-Encoding │
│ │ │ │ │ │ │ header │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-1705 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-1962 │ │ │ │ │ golang: go/parser: stack exhaustion in all Parse* functions │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-1962 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-32148 │ │ │ │ │ golang: net/http/httputil: NewSingleHostReverseProxy - omit │
│ │ │ │ │ │ │ X-Forwarded-For not working │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-32148 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-41717 │ │ │ │ 1.18.9, 1.19.4 │ golang: net/http: excessive memory growth in a Go server │
│ │ │ │ │ │ │ accepting HTTP/2 requests... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-41717 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-24532 │ │ │ │ 1.19.7, 1.20.2 │ golang: crypto/internal/nistec: specific unreduced P-256 │
│ │ │ │ │ │ │ scalars produce incorrect results │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-24532 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-29406 │ │ │ │ 1.19.11, 1.20.6 │ golang: net/http: insufficient sanitization of Host header │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-29406 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-29409 │ │ │ │ 1.19.12, 1.20.7, 1.21.0-rc.4 │ golang: crypto/tls: slow verification of certificate chains │
│ │ │ │ │ │ │ containing large RSA keys │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-29409 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-39318 │ │ │ │ 1.20.8, 1.21.1 │ golang: html/template: improper handling of HTML-like │
│ │ │ │ │ │ │ comments within script contexts │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-39318 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-39319 │ │ │ │ │ golang: html/template: improper handling of special tags │
│ │ │ │ │ │ │ within script contexts │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-39319 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-39326 │ │ │ │ 1.20.12, 1.21.5 │ golang: net/http/internal: Denial of Service (DoS) via │
│ │ │ │ │ │ │ Resource Consumption via HTTP requests... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-39326 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-45284 │ │ │ │ 1.20.11, 1.21.4 │ On Windows, The IsLocal function does not correctly detect │
│ │ │ │ │ │ │ reserved de ...... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-45284 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-45289 │ │ │ │ 1.21.8, 1.22.1 │ golang: net/http/cookiejar: incorrect forwarding of │
│ │ │ │ │ │ │ sensitive headers and cookies on HTTP redirect... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-45289 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-45290 │ │ │ │ │ golang: net/http: golang: mime/multipart: golang: │
│ │ │ │ │ │ │ net/textproto: memory exhaustion in │
│ │ │ │ │ │ │ Request.ParseMultipartForm │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-45290 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-24783 │ │ │ │ │ golang: crypto/x509: Verify panics on certificates with an │
│ │ │ │ │ │ │ unknown public key algorithm... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-24783 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-24784 │ │ │ │ │ golang: net/mail: comments in display names are incorrectly │
│ │ │ │ │ │ │ handled │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-24784 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-24785 │ │ │ │ │ golang: html/template: errors returned from MarshalJSON │
│ │ │ │ │ │ │ methods may break template escaping │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-24785 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-24789 │ │ │ │ 1.21.11, 1.22.4 │ golang: archive/zip: Incorrect handling of certain ZIP files │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-24789 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-24791 │ │ │ │ 1.21.12, 1.22.5 │ net/http: Denial of service due to improper 100-continue │
│ │ │ │ │ │ │ handling in net/http │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-24791 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-34155 │ │ │ │ 1.22.7, 1.23.1 │ go/parser: golang: Calling any of the Parse functions │
│ │ │ │ │ │ │ containing deeply nested literals... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-34155 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-34158 │ │ │ │ │ go/build/constraint: golang: Calling Parse on a "// +build" │
│ │ │ │ │ │ │ build tag line with... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-34158 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-45336 │ │ │ │ 1.22.11, 1.23.5, 1.24.0-rc.2 │ golang: net/http: net/http: sensitive headers incorrectly │
│ │ │ │ │ │ │ sent after cross-domain redirect │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-45336 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-45341 │ │ │ │ │ golang: crypto/x509: crypto/x509: usage of IPv6 zone IDs can │
│ │ │ │ │ │ │ bypass URI name... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-45341 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2025-22866 │ │ │ │ 1.22.12, 1.23.6, 1.24.0-rc.3 │ crypto/internal/nistec: golang: Timing sidechannel for P-256 │
│ │ │ │ │ │ │ on ppc64le in crypto/internal/nistec │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-22866 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2025-22871 │ │ │ │ 1.23.8, 1.24.2 │ net/http: Request smuggling due to acceptance of invalid │
│ │ │ │ │ │ │ chunked data in net/http... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-22871 │
│ ├────────────────┼──────────┤ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-30629 │ LOW │ │ │ 1.17.11, 1.18.3 │ golang: crypto/tls: session tickets lack random │
│ │ │ │ │ │ │ ticket_age_add │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-30629 │
└─────────┴────────────────┴──────────┴────────┴───────────────────┴──────────────────────────────────┴──────────────────────────────────────────────────────────────┘
從該掃描報告中可知,總共發現了59個安全漏洞,存在于文件usr/local/bin/gosu中:
Total: 59 (UNKNOWN: 0, LOW: 1, MEDIUM: 24, HIGH: 31, CRITICAL: 3)漏洞如何處理修復
處理分析思路
gosu是一個二進制文件,源代碼托管在https://github.com/tianon/gosu.git,該應用是使用golang語言編寫,主要用于在容器內讓應用以指定用戶運行,該項目最近一次更新是3個月前,目前使用的golang版本是1.20,而截至2025年4月19日,golang最新版是1.24.2,因此需要使用該項目源碼進行升級更新,使用golang 1.24.2編譯二進制文件替換鏡像內gosu文件,重新構建鏡像。
更加輕量級的身份切換執行工具su-exec:?
簡單的身份切換和執行工具su-exec —— 筑夢之路-CSDN博客
源碼改造并編譯
git clone https://github.com/tianon/gosu.git# 修改文件go.mod中的golang使用的版本為1.24.2go 1.20 改為go 1.24.2# 修改version.go文件1.17 改為 1.24# 編譯二進制文件,一定要在linux操作系統上編譯go build# 檢查編譯結果./gosu versionUsage: ./gosu user-spec command [args]eg: ./gosu tianon bash./gosu nobody:root bash -c 'whoami && id'./gosu 1000:1 id./gosu version: 1.24 (go1.24.2 on linux/amd64; gc)
./gosu license: Apache-2.0 (full text at https://github.com/tianon/gosu)
?至此,就得到了編譯生成的二進制文件gosu。
編譯其他平臺架構的二進制文件
# 編譯 ARMv7 架構(32位)
GOOS=linux GOARCH=arm GOARM=7 CGO_ENABLED=0 go build -o output_armv7# 編譯 ARMv8(ARM64)架構(64位)
GOOS=linux GOARCH=arm64 CGO_ENABLED=0 go build -o output_arm64?關鍵參數說明?:
GOOS=linux:目標操作系統為 Linux。
GOARCH=arm/arm64:目標 CPU 架構為 ARMv7 或 ARM64。
GOARM=7(僅限 ARMv7):指定 ARM 版本,默認為 ARMv6,建議顯式聲明?。
CGO_ENABLED=0:禁用 CGO 避免依賴動態庫,確保純靜態編譯?鏡像漏洞修復驗證
重構建新鏡像
# 編寫Dockerfile文件cat DockerfileFROM mysql:8.0.42
COPY gosu /usr/local/bin/gosu
RUN chmod +x /usr/local/bin/gosu
ENV TZ=Asia/Shanghai \LANG=C.UTF-8# 重新構建鏡像docker build -t mysql:8.0.42-20250419 .檢查修復驗證
docker tag mysql:8.0.42-20250419 mysql:8.0.42-testtrivy image mysql:8.0.42-test2025-04-19T23:18:13+08:00 INFO [vuln] Vulnerability scanning is enabled
2025-04-19T23:18:13+08:00 INFO [secret] Secret scanning is enabled
2025-04-19T23:18:13+08:00 INFO [secret] If your scanning is slow, please try '--scanners vuln' to disable secret scanning
2025-04-19T23:18:13+08:00 INFO [secret] Please see also https://trivy.dev/v0.61/docs/scanner/secret#recommendation for faster secret detection
2025-04-19T23:18:13+08:00 INFO Detected OS family="oracle" version="9.5"
2025-04-19T23:18:13+08:00 INFO [oracle] Detecting vulnerabilities... os_version="9" pkg_num=114
2025-04-19T23:18:13+08:00 INFO Number of language-specific files num=2
2025-04-19T23:18:13+08:00 INFO [gobinary] Detecting vulnerabilities...
2025-04-19T23:18:13+08:00 INFO [python-pkg] Detecting vulnerabilities...Report Summary┌──────────────────────────────────────────────────────────────────────────────────┬────────────┬─────────────────┬─────────┐
│ Target │ Type │ Vulnerabilities │ Secrets │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ mysql:8.0.42-test (oracle 9.5) │ oracle │ 0 │ - │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/PyNaCl-1.5.0.dist-info/METADATA │ python-pkg │ 0 │ - │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/PyYAML-6.0.1.dist-info/METADATA │ python-pkg │ 0 │ - │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/antlr4_python3_runtime-4.13.1.dist- │ python-pkg │ 0 │ - │
│ -info/METADATA │ │ │ │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/bcrypt-4.1.3.dist-info/METADATA │ python-pkg │ 0 │ - │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/certifi-2025.1.31.dist-info/METADA- │ python-pkg │ 0 │ - │
│ TA │ │ │ │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/cffi-1.17.1.dist-info/METADATA │ python-pkg │ 0 │ - │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/circuitbreaker-2.0.0.dist-info/MET- │ python-pkg │ 0 │ - │
│ ADATA │ │ │ │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/cryptography-44.0.1.dist-info/META- │ python-pkg │ 0 │ - │
│ DATA │ │ │ │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/oci-2.145.0.dist-info/METADATA │ python-pkg │ 0 │ - │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/paramiko-3.4.0.dist-info/METADATA │ python-pkg │ 0 │ - │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/pip-24.2.dist-info/METADATA │ python-pkg │ 0 │ - │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/pkg_resources/tests/data/my-test-p- │ python-pkg │ 0 │ - │
│ ackage_unpacked-egg/my_test_package-1.0-py3.7.egg/EGG-INFO/PKG-INFO │ │ │ │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/pkg_resources/tests/data/my-test-p- │ python-pkg │ 0 │ - │
│ ackage_zipped-egg/my_test_package-1.0-py3.7.egg │ │ │ │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/pyOpenSSL-24.3.0.dist-info/METADATA │ python-pkg │ 0 │ - │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/pycparser-2.22.dist-info/METADATA │ python-pkg │ 0 │ - │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/python_dateutil-2.9.0.post0.dist-i- │ python-pkg │ 0 │ - │
│ nfo/METADATA │ │ │ │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/pytz-2025.1.dist-info/METADATA │ python-pkg │ 0 │ - │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/setuptools-73.0.1.dist-info/METADA- │ python-pkg │ 0 │ - │
│ TA │ │ │ │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/setuptools/_vendor/autocommand-2.2- │ python-pkg │ 0 │ - │
│ .2.dist-info/METADATA │ │ │ │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/setuptools/_vendor/backports.tarfi- │ python-pkg │ 0 │ - │
│ le-1.2.0.dist-info/METADATA │ │ │ │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/setuptools/_vendor/importlib_metad- │ python-pkg │ 0 │ - │
│ ata-8.0.0.dist-info/METADATA │ │ │ │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/setuptools/_vendor/importlib_resou- │ python-pkg │ 0 │ - │
│ rces-6.4.0.dist-info/METADATA │ │ │ │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/setuptools/_vendor/inflect-7.3.1.d- │ python-pkg │ 0 │ - │
│ ist-info/METADATA │ │ │ │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/setuptools/_vendor/jaraco.context-- │ python-pkg │ 0 │ - │
│ 5.3.0.dist-info/METADATA │ │ │ │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/setuptools/_vendor/jaraco.functool- │ python-pkg │ 0 │ - │
│ s-4.0.1.dist-info/METADATA │ │ │ │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/setuptools/_vendor/jaraco.text-3.1- │ python-pkg │ 0 │ - │
│ 2.1.dist-info/METADATA │ │ │ │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/setuptools/_vendor/more_itertools-- │ python-pkg │ 0 │ - │
│ 10.3.0.dist-info/METADATA │ │ │ │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/setuptools/_vendor/packaging-24.1.- │ python-pkg │ 0 │ - │
│ dist-info/METADATA │ │ │ │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/setuptools/_vendor/platformdirs-4.- │ python-pkg │ 0 │ - │
│ 2.2.dist-info/METADATA │ │ │ │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/setuptools/_vendor/tomli-2.0.1.dis- │ python-pkg │ 0 │ - │
│ t-info/METADATA │ │ │ │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/setuptools/_vendor/typeguard-4.3.0- │ python-pkg │ 0 │ - │
│ .dist-info/METADATA │ │ │ │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/setuptools/_vendor/typing_extensio- │ python-pkg │ 0 │ - │
│ ns-4.12.2.dist-info/METADATA │ │ │ │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/setuptools/_vendor/wheel-0.43.0.di- │ python-pkg │ 0 │ - │
│ st-info/METADATA │ │ │ │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/setuptools/_vendor/zipp-3.19.2.dis- │ python-pkg │ 0 │ - │
│ t-info/METADATA │ │ │ │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/six-1.17.0.dist-info/METADATA │ python-pkg │ 0 │ - │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/lib/mysqlsh/lib/python3.13/site-packages/typing_extensions-4.12.2.dist-info- │ python-pkg │ 0 │ - │
│ /METADATA │ │ │ │
├──────────────────────────────────────────────────────────────────────────────────┼────────────┼─────────────────┼─────────┤
│ usr/local/bin/gosu │ gobinary │ 0 │ - │
└──────────────────────────────────────────────────────────────────────────────────┴────────────┴─────────────────┴─────────┘
Legend:
- '-': Not scanned
- '0': Clean (no security findings detected)再次掃描就沒有發現安全漏洞。
特別說明:gosu廣泛用于各官方鏡像中,比如redis、mongo、postgres等,以下列舉了幾個官方鏡像,大家可以自行驗證,因此解決gosu的安全漏洞意義還是比較大的。
redis:6-alpine
mongo:8.0.6-noble
postgres:15-alpine2025年4月19日
擴展閱讀:
https://segmentfault.com/a/1190000023065990?utm_source=sf-similar-article
https://segmentfault.com/a/1190000042389426
總結:
1. 常用于容器內權限切換執行的工具有tini、gosu、su-exec
2. 容器優雅退出對于容器生命周期管理比較重要
3. 容器內的1號進程有重要的意義
:相機預覽功能(ArkTS))
腦力航跡)
)
)
——初步了解以及QuickStart樣例)
含萬字詳細文檔)
