als devops engineer wil ik simpel veilige reproduceerbare containers voor in CI #41

New Issue

Open

opened 2024-04-07 12:56:12 +00:00 by bart_terpstra · 0 comments

bart_terpstra commented 2024-04-07 12:56:12 +00:00

Member

Copy Link

van: https://trello.com/c/RTMSiPOz/37-als-devops-engineer-wil-ik-simpel-veilige-reproduceerbare-containers-voor-in-ci
zie ook: #12

manieren om te komen aan containers met de gewenste software:

• kies een simpele container (bv alpine) en installeer de gewenste packages. dit is wat we nu veelal doen in CI. nadeel is ruis doordat installatie in CI stappen komt ipv dat deze ingebakken zit in de containers.
• zoeken naar gepubliceerde containers met de gewenste software ingebakken. dit geeft wat additionele complexiteit, evenals dat dit een attack vector toevoegt gezien je zult moeten monitoren of je de externe container image vertrouwt, die al dan niet voldoende peer review vindt bij updates.
• gebruik maken van een tool als nixery dat op transparante wijze container images met de gewenste software genereert.
  • nixery zou tevens kunnen fungeren als opstapje richting nix voor het bouwen van containers voor onze eigen software.
  • ik had nixery op woodpecker nog niet aan de praat kunnen krijgen, maar zij zeggen ook dat je dient te zelf-hosten, dus wellicht dat dit daaraan lag.

van: https://trello.com/c/RTMSiPOz/37-als-devops-engineer-wil-ik-simpel-veilige-reproduceerbare-containers-voor-in-ci zie ook: #12 manieren om te komen aan containers met de gewenste software: - kies een simpele container (bv alpine) en installeer de gewenste packages. dit is wat we nu veelal doen in CI. nadeel is ruis doordat installatie in CI stappen komt ipv dat deze ingebakken zit in de containers. - zoeken naar gepubliceerde containers met de gewenste software ingebakken. dit geeft wat additionele complexiteit, evenals dat dit een attack vector toevoegt gezien je zult moeten monitoren of je de externe container image vertrouwt, die al dan niet voldoende peer review vindt bij updates. - gebruik maken van een tool als [nixery](https://nixery.dev/) dat op transparante wijze container images met de gewenste software genereert. - nixery zou tevens kunnen fungeren als opstapje richting [nix](https://docs.google.com/presentation/d/1HJnjEKnty44zedwSfVrXJRqAFzbV4wvGym6IVpKAwhs/edit?usp=sharing) voor het bouwen van containers voor onze eigen software. - ik had nixery op woodpecker nog niet aan de praat kunnen krijgen, maar zij zeggen ook dat je dient te zelf-hosten, dus wellicht dat dit daaraan lag.

bart_terpstra added the

lage prioriteit

Legacy

labels 2024-04-07 12:56:12 +00:00

bart_terpstra added this to the Intranet project 2024-04-07 12:56:13 +00:00

bart_terpstra referenced this issue 2024-04-07 13:28:40 +00:00

reproduceer inrichting diensten #52

Sign in to join this conversation.

No Branch/Tag Specified

Branches Tags

Labels

Clear labels   

bug

Something is not working

  

duplicate

This issue or pull request already exists

  

enhancement

New feature

  

help wanted

Need some help

  

invalid

Something is wrong

  

lage prioriteit

belangrijk genoeg voor een issue, niks om zorgen om te maken.

  

Legacy

Imported issue from Trello

  

prioriteit-1

Of dit wordt zo snel mogelijk gefixt of er zijn serieuse consequenties.

  

prioriteit-2

als hier wat misgaat of niemand let op, zijn er serieuse consequenties.

  

question

More information is needed

  

wontfix

This won't be fixed

No Label

bug

duplicate

enhancement

help wanted

invalid

lage prioriteit

Legacy

prioriteit-1

prioriteit-2

question

wontfix

Milestone

Clear milestone

No items

No Milestone

Projects

Clear projects

No project

Intranet

Assignees

Clear assignees

No Assignees

1 Participants

Notifications

Subscribe

Due Date

The due date is invalid or out of range. Please use the format 'yyyy-mm-dd'.

No due date set.

Dependencies

No dependencies set.

Reference: bij1/ict#41

No description provided.