1) لا تعمل كـ root
RUN addgroup app && adduser -S -G app app
USER app
تشغيل الحاوية بمستخدم محدود يقلّل خطر الاختراق.
2) استخدم صورًا موثوقة وصغيرة
- صور رسمية (Official) أو موثّقة (Verified).
- نسخ
alpineتقلّل سطح الهجوم.
3) لا تضع الأسرار في الصورة
⚠️ الأسرار في
DockerfileأوENVتبقى في طبقات الصورة. مرّرها وقت التشغيل عبر متغيّرات بيئة أو Docker secrets.
4) افحص الصور
docker scout cves myapp # فحص الثغرات
5) ثبّت الإصدارات
استخدم وسومًا دقيقة (node:20.11-alpine) لا latest، لتفادي تغييرات مفاجئة.
6) قلّل الصلاحيات
- لا تستخدم
--privilegedإلا للضرورة. - اربط فقط المنافذ والأقراص اللازمة.
🎯 التالي: مقدّمة في التنسيق (Orchestration).