SecretsUsedInArgOrEnv
目錄
輸出
Potentially sensitive data should not be used in the ARG or ENV commands描述
儘管在本地開發期間透過環境變數將秘密傳遞給正在執行的程序很常見,但使用 `ENV` 或 `ARG` 在 Dockerfile 中設定秘密是不安全的,因為它們會保留在最終映象中。此規則報告 `ENV` 和 `ARG` 鍵表明它們包含敏感資料時的違規行為。
您應該使用秘密掛載而不是 `ARG` 或 `ENV`,秘密掛載以安全的方式將秘密暴露給您的構建,並且不會保留在最終映象或其元資料中。請參閱 構建秘密。
示例
❌ 錯誤:`AWS_SECRET_ACCESS_KEY` 是一個秘密值。
FROM scratch
ARG AWS_SECRET_ACCESS_KEY