如何在不启动容器的情况下检查 Docker 镜像的内容

Docker 镜像可以将任意二进制文件和库捆绑到单个数据块中。检查图像中的实际内容可帮助您评估其适用性并识别任何安全隐患。

探索图像内容的最简单方法包括启动容器、获取 shell 会话，然后使用常规终端命令（如ls和 ）cd从内部查看其目录结构。不过，这在安全关键环境中并不理想——创建具有未知图像的容器可能会使您暴露于恶意入口点脚本。

以下是可用于在不启动容器的情况下检查图像文件的技术。

在不启动的情况下创建容器

docker create是一个鲜为人知的对应物docker run。它在不启动的情况下在给定图像上创建一个新容器。您可以稍后使用该docker start命令启动它。

创建一个新容器并不危险，因为它会在运行之前保持惰性。您可以粗略地将其比作为您不使用的 VM 定义配置设置。即使它设置为从受污染的操作系统 ISO 启动，您也不会对您的环境造成任何损害。

docker create --name suspect-container suspect-image:latest

上面的命令创建了一个新的容器&