我正在使用 spring boot v3.1.5,并使用 bootBuildImage 构建我的映像。 扫描我的图像后,我发现了很多关于 golang 的 CVE。 据我了解,在镜像构建过程中使用了多个 golang 构建包。
有办法解决这个问题吗?我可以配置 spring 来避免使用这些包吗?
我尝试配置使用过的构建包,但没有成功。 我希望在我创建的映像中包含零个 golang 相关文件。
正确答案
非常好!
不,那是不正确的。当您构建 Java 应用程序时,它仅使用与 Java 相关的构建包。它不使用任何 Go 构建包。您可以在构建的输出中看到它使用的构建包列表。它看起来像这样。检测中列出的构建包是唯一被调用的构建包。
===> DETECTING 6 of 26 buildpacks participating paketo-buildpacks/ca-certificates 3.6.6 paketo-buildpacks/bellsoft-liberica 10.4.2 paketo-buildpacks/syft 1.39.0 paketo-buildpacks/executable-jar 6.8.2 paketo-buildpacks/dist-zip 5.6.7 paketo-buildpacks/spring-boot 5.27.5
您可能会感到困惑的是,所有 Paketo 构建包本身都是用 Golang 编写的。因此,如果您要选择一个构建包映像,例如 gcr.io/paketo-buildpacks/bellsoft-liberica,您会看到 /cnb/buildpacks/paketo-buildpacks_bellsoft-liberica/10.4.2/bin 处有一个 Go 二进制文件/main.这是在检测和构建期间调用的内容,以及实际执行构建包的操作的内容。
立即学习“go语言免费学习笔记(深入)”;
此外,构建包在应用程序运行时启动之前执行一些操作,例如配置 JVM 设置,这些操作由名为 helper 的单独二进制文件(构建包映像的同一目录)执行。与 main 不同,此二进制文件被复制到最终映像中,因此您的扫描仪正确地认为映像中存在 Go 二进制文件。它是 helper 二进制文件。如果您使用 dive 查看应用程序映像,您可以看到添加 helper 二进制文件的层并确认这一点。
您的扫描仪将看到此二进制文件并像其他任何东西一样扫描它。它能够从二进制文件中判断出哪个版本的 Golang 创建了该二进制文件,并从那里告诉您该二进制文件可能容易受到该版本 Go 或更高版本的任何已知 CVE 的攻击。
扫描程序对于二进制文件的用途或它是否实际上容易受到任何 CVE 的攻击的了解为零。我不知道您指的是什么 CVE,但我可以告诉您,鉴于 Paketo buildpack helper 二进制文件的上下文,大多数 CVE 将不适用。例如,与服务器、网络或 HTTP 相关的任何内容都是不相关的。 helper 二进制文件是一个 CLI,它运行并通常读取参数/环境变量,然后打印出一些结构化文本。就是这样,通常不需要服务器、网络或 HTTP。
如果您对 CVE 及其影响有具体疑问,您可以在 Paketo Slack 上提问,但不要只是将扫描仪中的 CVE 列表转储到那里并期望有人仔细检查所有内容为你。请注意,该项目是一个 OSS 项目,人们会出于善意做出回应,并且会在时间允许的情况下做出回应。如果您需要更多帮助或想要有保证的响应时间,那么您需要考虑与商业构建包供应商签订合同。
无法删除 Golang 文件,它们本质上是构建包。
你可以做什么:
-
保持您的构建器和构建包更新。 Paketo 项目每周都会削减新版本,我们会积极地保持 Go 的最新状态,以便新版本包含所有最新修复。
-
检查报告的 CVE,如果您及时更新,应该不会有很多。考虑到构建包二进制文件的上下文(见上文),它们很可能是无关紧要的,然后您可以告诉扫描仪忽略它们。他们应该很快就会离开,因为 1。)
-
由于您使用的是 Spring Boot 构建工具,因此请确保您已看到此公告并已应用所需的更改。如果您不这样做,您绝对会得到很多 CVE,因为您将拥有非常旧的构建包。
