Является ли угрозой безопасности включение папки .git на этапе сборки многоступенчатой ​​сборки Docker?

Question

Есть ли угроза безопасности для включения папки .git на этапе сборки многоступенчатой ​​сборки Docker?

Для иллюстрации на примере. У нас есть шаг компиляции с использованием Java-инструмента сборки maven, который читает информацию git, такую ​​как тег и коммит. Для этого необходимо, чтобы на этапе компиляции был доступ к папке .git. После этого полученные артефакты копируются в окончательное изображение. См:

FROM maven:3.5.4 as build
COPY $PWD /cbioportal
WORKDIR /cbioportal
RUN mvn -DskipTests clean install

FROM openjdk:8-jre
RUN mkdir -p /cbioportal
COPY --from=build /cbioportal/cbioportal*.war /app.war
COPY --from=build /cbioportal/webapp-runner.jar /webapp-runner.jar

Если мы передаем полученное изображение публично. Есть ли способы получить информацию об исходной папке .git, из которой было создано изображение?

Answer 1

.git будет кэшироваться на компьютере, который будет создавать изображение, но не будет включаться в конечное изображение, к которому будут добавлены только 3 слоя: - один слой с / cbioportal dir - один слой сфайл war, скопированный из сборки - один слой с помощью webapp-runner.jar

С помощью docker inspect вы можете перечислить слои двух изображений и сравнить ...