Docker镜像构建必须杜绝敏感信息残留:禁用硬编码与ENV明文设密,用build-args仅传非敏感参数,运行时通过-e/--env-file/K8s Secret注入;强制多阶段构建剥离构建器依赖;严格.dockerignore排除密钥文件;交付前用trivy等工具扫描残留。
制作 Docker 镜像时,敏感信息(如密码、API 密钥、私钥、内部域名、调试配置等)一旦被意外打包进镜像层,就可能通过镜像分发、共享或反向分析泄露,造成严重安全风险。关键不是“有没有”,而是“是否残留”——即使临时写入又删除,也可能留在历史层中。
构建阶段绝不硬编码敏感信息
避免在 Dockerfile 中使用 COPY 或 RUN 指令直接复制配置文件、环境脚本或密钥文件;禁用 ENV 指令明文设置敏感变量(如 ENV DB_PASSWORD=123456)。这类操作会固化到镜像层,无法通过后续 RUN rm 清除。
- 用 build-args 传参仅限非敏感上下文(如版本号、构建开关),且需配合 --no-cache 和明确的 .dockerignore
- 敏感配置统一交由运行时注入:通过 docker run -e、--env-file、Kubernetes Secret 挂载或服务发现机制动态获取
- 应用启动逻辑需支持“无配置启动”,在容器初始化阶段拉取或生成必要凭证
多阶段构建彻底剥离构建依赖与中间产物
利用多阶段构建(multi-stage build)将编译、测试、打包等过程隔离在构建器阶段,最终只 COPY --from=builder 运行所需的二进制、静态资源和最小依赖,不继承任何构建工具链、源码、日志、缓存或临时密钥文件。
- 构建器阶段安装的
git、curl、jq等工具,不应出现在最终镜像中 - 禁止在构建阶段执行
git clone后直接COPY . /app—— 应先git archive或tar --exclude过滤掉.git、.env、secrets.yaml等文件 - 若需证书或配置模板,应从独立的安全仓库(如 HashiCorp Vault Sidecar 挂载)获取,而非打包进构建上下文
严格管控构建上下文与.dockerignore
docker build 默认发送当前目录下所有文件到守护进程,是敏感信息潜入的高发入口。仅靠“我删了”不等于“没传过”。必须用 .dockerignore 显式排除高风险文件和路径。
- 必加项:
.git,.env,*.key,*.pem,*.cert,secrets/,config/local.yml,**/credentials - 慎用通配符:
*可能漏掉隐藏文件,建议逐条列出,或用!README.md白名单式保留必需项 - 构建前执行
tar -cf - . | tar -t | grep -E '\.(key|pem|env)$'快速验证上下文是否干净
镜像交付前做残留扫描与层分析
构建完成不等于安全。应把镜像当作黑盒进行静态检查:扫描文件系统层是否存在密钥字符串、硬编码 token、调试接口、未授权证书等。
- 用 docker history <image> 查看每层指令,确认无
RUN echo 'pwd=xxx' > conf.txt类操作 - 用 docker save <image> | tar -O -x image.tar.gz | grep -r -i -E '(api_key|password|secret|private_key|BEGIN RSA)' 2>/dev/null 快速文本扫描
- 集成 Trivy、Clair 或 Snyk Container 做自动化敏感信息规则扫描(如
trivy image --security-checks secret,config --ignore-unfixed myapp:latest)
