SecretsUsedInArgOrEnv

目录

输出

Potentially sensitive data should not be used in the ARG or ENV commands

描述

尽管在本地开发期间通过环境变量将秘密传递给正在运行的进程很常见,但使用 `ENV` 或 `ARG` 在 Dockerfile 中设置秘密是不安全的,因为它们会保留在最终镜像中。此规则报告 `ENV` 和 `ARG` 键表明它们包含敏感数据时的违规行为。

您应该使用秘密挂载而不是 `ARG` 或 `ENV`,秘密挂载以安全的方式将秘密暴露给您的构建,并且不会保留在最终镜像或其元数据中。请参阅 构建秘密

示例

❌ 错误:`AWS_SECRET_ACCESS_KEY` 是一个秘密值。

FROM scratch
ARG AWS_SECRET_ACCESS_KEY
© . This site is unofficial and not affiliated with Kubernetes or Docker Inc.