微力同步的二进制文件有漏洞组件,请更新版本
最近在学容器,顺手用trivy这个容器漏洞检查工具查看了一下,发现jonnyan404/verysync:2.17.0版本的容器有以下问题1.基础系统Alpine 3.19的问题是旧版本(3.1.4-r2)的libcrypto3和libssl3,需要升级到3.1.4-r5及以上版本
2.gosu二进制文件的问题是使用了旧版本(v1.1.0)的runc组件,需要升级到1.1.12及以上版本
3.verysync二进制文件包含的问题组件及解决办法
我自己从jonnyan404的github下载了Dockerfile并进行了修改,使用了busybox-1.36.1-glibc的基础镜像以及1.17版本的gosu文件,解决了问题1和问题2,贴在下方供参考。因为Verysync是闭源的,所以我无法进行更新及修复。请官方查看一下这个问题,并发布新版。
我用的Dockerfile:
```
FROM docker.io/library/busybox:1.36.1-glibc
ENV TZ=CST-8 \
PORT=8886 \
VUID=0
WORKDIR /app/
COPY verysync-linux-amd64-*/verysync /tmp/
COPY docker-entrypoint.sh /app/
COPY gosu /usr/local/bin/
RUN chmod 0755 /tmp/verysync \
&& mv /tmp/verysync /usr/bin/ \
&& mkdir -p /data/ \
&& chmod 0775 /data/ \
&& addgroup -S nonverysync && adduser -S nonverysync -G nonverysync \
&& chmod 0755 /app/docker-entrypoint.sh
RUN chmod 0755 /usr/local/bin/gosu \
&& gosu nobody true
HEALTHCHECK --interval=1m --timeout=10s \
CMD nc -z 127.0.0.1 ${PORT}|| exit 1
ENTRYPOINT ["/app/docker-entrypoint.sh"]
```
页:
[1]