← До списку лабораторних по Docker
Повний опис / сценарій лабораторної:
Мета: зрозуміти як передавати секрети у процес збірки так щоб вони не потрапляли у фінальний образ. Крок 1. Розглянути типовий анти приклад. Пояснення: у Dockerfile прописують git токен або пароль у RUN команді. Крок 2. Ознайомитися з механізмом build secrets для Docker або buildkit. Пояснення: секрети передаються тимчасово тільки на час збірки. Крок 3. Підготувати Dockerfile який клонує приватний репозиторій. Пояснення: заміни адресу на умовну щоб не світити реальні дані. Крок 4. Налаштувати ssh ключ або токен як секрет у buildkit. Пояснення: секрет доступний лише у потрібних RUN інструкціях. Крок 5. Виконати збірку з увімкненим buildkit. Команда: DOCKER_BUILDKIT=1 docker build -t lab52-secret . Крок 6. Переконатися що секрет не потрапив у образ. Пояснення: перевір файли всередині контейнера і історію шарів. Крок 7. Переглянути лог збірки на наявність секретних значень. Пояснення: вони також не мають відображатися у plain тексті. Крок 8. Зробити висновки щодо використання build secrets у ci cd. Пояснення: секрети мають приходити з захищеного сховища змінних. Крок 9. Описати політику ревʼю Dockerfile для виявлення випадкових секретів. Пояснення: це допомагає запобігти витокам при code review. Крок 10. Міні звіт. Завдання: опиши кроки які ти додав би до пайплайна щоб гарантувати відсутність секретів у образах.