Primeira melhoria na imagem

Acessar a imagem no Docker Scout:

Em Image Layers é possível visualizar as vulnerabilidades por camadas:

Boa parte das vulnerabilidades começam na imagem base. Neste exemplo, das 18 vulnerabilidades encontradas, 12 são da imagem base:

Além das vulnerabilidades é possível visualizar os pacotes:

No Docker Hub é possível visualizar as correções recomendadas com o botão View recommended base image fixes:

Visualizar as recomendações a partir de linha de comando:

$ docker scout recommendations marcelodpbarbieri/projeto-caotico:v1

Serão seguidas as recomendações do Docker Scout para verificar o resultado.

Inicialmente será utilizada a imagem base na versão 18-slim e criada uma nova versão dessa imagem:

~/devops-projeto-caotico/src$ vim Dockerfile

FROM node:18-slim
WORKDIR /app
COPY package*.json ./
RUN npm install
COPY . .
EXPOSE 8080
CMD ["node", "server.js"]

Construção da imagem com a tag v2 e subida no Docker Registry:

$ docker image build -t marcelodpbarbieri/projeto-caotico:v2 \
               -f Dockerfile --push .
[+] Building 5580.0s (12/12) FINISHED                                      docker:default
 => [internal] load build definition from Dockerfile                                 0.0s
 => => transferring dockerfile: 153B                                                 0.0s
 => [internal] load metadata for docker.io/library/node:18-slim                      2.8s
 => [auth] library/node:pull token for registry-1.docker.io                          0.0s
 => [internal] load .dockerignore                                                    0.0s
 => => transferring context: 54B                                                     0.0s
 => [1/5] FROM docker.io/library/node:18-slim@sha256:d338af8633813756155eca65e9e245  4.6s
 => => resolve docker.io/library/node:18-slim@sha256:d338af8633813756155eca65e9e245  0.0s
 => => sha256:04a1783a5f5acfd45bbff33c0d9e789c93455f399b5bc9e565bdb 1.93kB / 1.93kB  0.0s
 => => sha256:80be852de22a154b87f49de55894d05a69bd8cf8f8606a26e05b3 6.86kB / 6.86kB  0.0s
 => => sha256:a2318d6c47ec9cac5acc500c47c79602bcf953cec711a18bc89 29.13MB / 29.13MB  1.8s
 => => sha256:c5ff1f4dd1ba7a1c3a267c41879cda11312eb50994d846614f45a 3.31kB / 3.31kB  0.2s
 => => sha256:8ef6485bc17ff219d5b4ea50e9ec8b46b096687d34f912a1755 38.18MB / 38.18MB  2.4s
 => => sha256:d338af8633813756155eca65e9e245821839cefa4bfd3d10bf5f2 6.49kB / 6.49kB  0.0s
 => => sha256:73f03fd7dcbe76d133902875375c3bc45806a63e87462255f49c5 1.71MB / 1.71MB  1.7s
 => => sha256:ffe5f63df5e63468fc6ef7e40f7ff5ee4bc389b51a4b7c2344d60b305 448B / 448B  2.3s
 => => extracting sha256:a2318d6c47ec9cac5acc500c47c79602bcf953cec711a18bc898911a09  1.3s
 => => extracting sha256:c5ff1f4dd1ba7a1c3a267c41879cda11312eb50994d846614f45abde6b  0.0s
 => => extracting sha256:8ef6485bc17ff219d5b4ea50e9ec8b46b096687d34f912a1755101a351  1.2s
 => => extracting sha256:73f03fd7dcbe76d133902875375c3bc45806a63e87462255f49c551832  0.0s
 => => extracting sha256:ffe5f63df5e63468fc6ef7e40f7ff5ee4bc389b51a4b7c2344d60b3052  0.0s
 => [internal] load build context                                                    0.3s
 => => transferring context: 87.02MB                                                 0.3s
 => [2/5] WORKDIR /app                                                               0.3s
 => [3/5] COPY package*.json ./                                                      0.0s
 => [4/5] RUN npm install                                                            1.6s
 => [5/5] COPY . .                                                                   0.2s
 => exporting to image                                                               0.3s
 => => exporting layers                                                              0.2s
 => => writing image sha256:b2fd82cfe515010471c6c21790717b06c610e69e9da9438036007a4  0.0s
 => => naming to docker.io/marcelodpbarbieri/projeto-caotico:v2                      0.0s
 => pushing marcelodpbarbieri/projeto-caotico:v2 with docker                      4967.9s
 => => pushing layer 4b7c7b52434a                                                 4959.9s
 => => pushing layer 7221c2d953da                                                  127.1s
 => => pushing layer 4cf39739b3c2                                                    6.4s
 => => pushing layer 535309cf7d75                                                    5.8s
 => => pushing layer 5ae49213d3df                                                 4967.5s
 => => pushing layer 9b298ae9849d                                                 4967.5s
 => => pushing layer fb9bef9d4e0f                                                 4967.5s
 => => pushing layer 7e57a856c23c                                                 4967.5s
 => => pushing layer 8e2ab394fabf                                                 4967.5s

A quantidade de vulnerabilidades foi reduzida consideravelmente:

É possível comparar as imagens no Docker Scout para verificar as vulnerabilidades e pacotes instalados:

Ainda existem vulnerabilidades na imagem base:

Porém o Docker Hub já não possui mais recomendações:

Apesar disso é possível verificar que a maior parte das vulnerabilidades está relacionada ao Debian:

Existe uma distribuição Linux específica para ser executada em container: Alpine

index | Alpine Linux

Na possibilidade de alterar a imagem utilizada, ao consultar Node no Docker Hub é possível visualizar as tags existentes e suas vulnerabilidades:

Ao filtrar pela versão 18 utilizada pela aplicação é possível visualizar a versão Alpine sem vulnerabilidades:

Substituir a versão no Dockerfile e reconstruir uma nova imagem:

~/devops-projeto-caotico/src$ vim Dockerfile

FROM node:18.20.4-alpine3.20
WORKDIR /app
COPY package*.json ./
RUN npm install
COPY . .
EXPOSE 8080
CMD ["node", "server.js"]

~/devops-projeto-caotico/src$ docker image build -t marcelodpbarbieri/projeto-caotico:v3 -f Dockerfile --push .
[+] Building 5248.2s (12/12) FINISHED                                      docker:default
 => [internal] load build definition from Dockerfile                                 0.0s
 => => transferring dockerfile: 164B                                                 0.0s
 => [internal] load metadata for docker.io/library/node:18.20.4-alpine3.20           3.4s
 => [auth] library/node:pull token for registry-1.docker.io                          0.0s
 => [internal] load .dockerignore                                                    0.0s
 => => transferring context: 54B                                                     0.0s
 => [1/5] FROM docker.io/library/node:18.20.4-alpine3.20@sha256:02376a266c84acbf45b  6.0s
 => => resolve docker.io/library/node:18.20.4-alpine3.20@sha256:02376a266c84acbf45b  0.0s
 => => sha256:02376a266c84acbf45bd19440e08e48b1c8b98037417334046029 7.67kB / 7.67kB  0.0s
 => => sha256:ea8e360a721d870337fe899c70ea7def62f2a72cf1b6f7beb8a3c 1.72kB / 1.72kB  0.0s
 => => sha256:f48cc58268524517dc484f884b142fad1411e8b9ed35341342d87 6.36kB / 6.36kB  0.0s
 => => sha256:43c4264eed91be63b206e17d93e75256a6097070ce643c5e8f037 3.62MB / 3.62MB  0.6s
 => => sha256:3696426c5aa28a9e9d46b6194f46c030c7dce77770db1f30e95 39.84MB / 39.84MB  4.6s
 => => sha256:cdccf44a82db2a9559b2c200f8cdbdb0df43925679f8ddc7c7e92 1.38MB / 1.38MB  4.0s
 => => extracting sha256:43c4264eed91be63b206e17d93e75256a6097070ce643c5e8f0379998b  0.1s
 => => sha256:21f39b9ddd19acb73b7cbee0e5755029042719f744f2ce91a26f7e942 447B / 447B  4.0s
 => => extracting sha256:3696426c5aa28a9e9d46b6194f46c030c7dce77770db1f30e95e2317a1  1.1s
 => => extracting sha256:cdccf44a82db2a9559b2c200f8cdbdb0df43925679f8ddc7c7e925d469  0.0s
 => => extracting sha256:21f39b9ddd19acb73b7cbee0e5755029042719f744f2ce91a26f7e9425  0.0s
 => [internal] load build context                                                    0.0s
 => => transferring context: 531B                                                    0.0s
 => [2/5] WORKDIR /app                                                               0.1s
 => [3/5] COPY package*.json ./                                                      0.0s
 => [4/5] RUN npm install                                                            1.9s
 => [5/5] COPY . .                                                                   0.2s
 => exporting to image                                                               0.2s
 => => exporting layers                                                              0.1s
 => => writing image sha256:da8734284f90ae91be07b137028ed8015d1188a2df07e8f69bd10b2  0.0s
 => => naming to docker.io/marcelodpbarbieri/projeto-caotico:v3                      0.0s
 => pushing marcelodpbarbieri/projeto-caotico:v3 with docker                      4797.7s
 => => pushing layer 1909534ab62b                                                 4790.4s
 => => pushing layer 4345ed74eb94                                                  121.8s
 => => pushing layer 37d7c4fdd080                                                    5.6s
 => => pushing layer 0e0adffac039                                                    7.8s
 => => pushing layer e2be10e97665                                                 4797.3s
 => => pushing layer 06fd85419b65                                                 4797.3s
 => => pushing layer f58c462fa079                                                 4797.3s
 => => pushing layer 63ca1fbb43ae                                                 4797.3s

Com isso todas as vulnerabilidades da imagem base foram resolvidos:

23 vulnerabilidades e 105 pacotes a menos:

Vulnerabilidades com mudanças e sem mudanças:

Comparação de imagens com linha de comando:

$ docker scout compare --to marcelodpbarbieri/projeto-caotico:v2 \
          marcelodpbarbieri/projeto-caotico:v3