SecretsUsedInArgOrEnv (在參數或環境變數中使用 secrets)

目錄

輸出

Potentially sensitive data should not be used in the ARG or ENV commands

說明

雖然在本地開發過程中,通常會透過環境變數將 secrets 傳遞給正在執行的程序,但在 Dockerfile 中使用 `ENV` 或 `ARG` 設定 secrets 並不安全,因為它們會持續存在於最終映像檔中。這條規則會報告 `ENV` 和 `ARG` 金鑰指示它們包含敏感資料的情況。

您應該使用 secrets 掛載,而不是 `ARG` 或 `ENV`,secrets 掛載會以安全的方式將 secrets 暴露給您的建置,並且不會持續存在於最終映像檔或其詮釋資料中。請參閱建置 Secrets範例

❌ 不良示範:`AWS_SECRET_ACCESS_KEY` 是一個 secret 值。

FROM scratch
ARG AWS_SECRET_ACCESS_KEY