The latest articles on Forem by Gabriel Batista (@batistagabriel). https://forem.com/batistagabriel https://media2.dev.to/dynamic/image/width=90,height=90,fit=cover,gravity=auto,format=auto/https:%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Fuser%2Fprofile_image%2F709426%2F676fe7c1-7a3b-442a-ada8-146a2e723316.jpeg https://forem.com/batistagabriel en Gabriel Batista Wed, 12 Jun 2024 01:25:32 +0000 https://forem.com/batistagabriel/using-secure-base-images-5e6o https://forem.com/batistagabriel/using-secure-base-images-5e6o <p><a href="https://media.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fmedia1.tenor.com%2Fm%2FDSG9ZID25nsAAAAC%2Fhello-there-general-kenobi.gif" class="article-body-image-wrapper"><img src="https://media.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fmedia1.tenor.com%2Fm%2FDSG9ZID25nsAAAAC%2Fhello-there-general-kenobi.gif" alt="Hello There!"></a></p> <p>I wrote this article to share a bit of what I've learned in the <a href="https://www.linuxtips.io/pick" rel="noopener noreferrer">PICK</a> from <a href="https://www.linuxtips.io/" rel="noopener noreferrer">LinuxTips</a>. So, grab your drink and join me.</p> <p>It all started when, sometimes, security tools reported low/mid vulnerabilities, and when we went to assess what these vulnerabilities were, we always ended up in the mental agreement: "it's not something we did, so there's no way to fix it."</p> <p>During the PICK classes, I got to know Chainguard. And then the idea came up to write this article to show how to use a secure base image to build the container for my application.</p> <p>To demonstrate this, we will containerize a very basic console application of "hello world" in DotNet throughout this article, as the focus here is on how to build a Dockerfile for the application in a more secure way, not the application itself.</p> <h2> Creating the application </h2> <p>Assuming you already have the DotNet SDK installed and configured in your environment, let's open our terminal and start creating the project.</p> <p>We will create our application using the <a href="https://learn.microsoft.com/en-us/dotnet/core/tools/dotnet-new-sdk-templates#console" rel="noopener noreferrer">console template of the DotNet CLI</a>. We will do this using the following command:<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code>dotnet new console <span class="nt">-o</span> HelloWorldApp </code></pre> </div> <p>Once this is done, let's move to our favorite text editor to start manipulating the files contained in the project directory.</p> <p>With your text editor open, let's modify the <code>Program.cs</code> file to have our Hello World. Edit your file to look like the following:<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight csharp"><code><span class="k">namespace</span> <span class="nn">HelloWorldApp</span> <span class="p">{</span> <span class="k">static</span> <span class="k">class</span> <span class="nc">Program</span> <span class="p">{</span> <span class="k">static</span> <span class="k">void</span> <span class="nf">Main</span><span class="p">(</span><span class="kt">string</span><span class="p">[]</span> <span class="n">args</span><span class="p">)</span> <span class="p">{</span> <span class="n">Console</span><span class="p">.</span><span class="nf">WriteLine</span><span class="p">(</span><span class="s">"Hello World!"</span><span class="p">);</span> <span class="p">}</span> <span class="p">}</span> <span class="p">}</span> </code></pre> </div> <h2> Creating the Dockerfile </h2> <p>Perfect, now that you have created our application (which has the potential to hack NASA), it's time to create our Dockerfile to containerize our application.</p> <p><em>It is worth remembering that the Dockerfile needs to be at the same level as the csproj file, in our case, inside the <code>HelloWorldApp</code> directory.</em></p> <p>To build our Dockerfile, in addition to using secure base images, we will use an organization and performance concept called <a href="https://docs.docker.com/build/building/multi-stage/" rel="noopener noreferrer">multi-stage builds</a>.</p> <h3> First stage </h3> <p>Without further ado, let's move to the first line of our Dockerfile:<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code>FROM cgr.dev/chainguard/dotnet-sdk:latest AS build </code></pre> </div> <p>The base image we are using has a reduced scope so that there are only dependencies that satisfy the use of the DotNet SDK.</p> <p>Therefore, compared to the scope of a base alpine image, for example, the chances of our container having vulnerabilities that do not pertain only to the DotNet SDK dependencies are much smaller. And this is the great advantage of using Chainguard's base images.</p> <p>Still, regarding the first line, note that we used an alias to identify the stage that will be executed. In this case, we called the current stage <code>build</code>.</p> <p>Moving on, so that we can execute our command that will compile our application and generate our dll (<code>dotnet publish</code>), we need to first declare that our files belong to a non-root user so they can be compiled. We will do this as follows:<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code>COPY <span class="nt">--chown</span><span class="o">=</span>nonroot:nonroot <span class="nb">.</span> /source </code></pre> </div> <p>Here we are using the <code>COPY</code> command to copy all the files from the current directory where the Dockerfile is located, under the permissions of a non-root user, to a directory inside the container called <code>source</code> which will be used later.</p> <p>Since it is a secure base image, some operations (such as publish in our case) require a little more attention to permission levels, since letting things be compiled at a high level would undermine the security of the image.</p> <p>At the end of this stage, we will define our default working directory and carry out the process of creating our dll, which will be directed to a directory called <code>Release</code>. This will be done in the following lines:<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code>WORKDIR /source RUN dotnet publish <span class="nt">--use-current-runtime</span> <span class="nt">--self-contained</span> <span class="nb">false</span> <span class="nt">-o</span> Release </code></pre> </div> <h3> Final stage </h3> <p>Now, in this stage, we no longer need dependencies related to the SDK; we now need resources related to the DotNet runtime to run our dll. For this, we will use the following base image:<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code>FROM cgr.dev/chainguard/dotnet-runtime:latest AS final </code></pre> </div> <p>After this, we will proceed to define our default working directory and now use the great advantage of using multi-stage. As in the <code>build</code> stage, we have already generated our dll; we can now copy our dll to the current stage to use it. We will do this as follows:<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code>WORKDIR / COPY <span class="nt">--from</span><span class="o">=</span>build /source <span class="nb">.</span> </code></pre> </div> <p>Note that in the <code>COPY</code> command we are stating that we want what was generated in the <code>/source</code> directory of the <code>build</code> stage to be copied to the root context <code>.</code>. And this is where we gain organization and performance in our Dockerfile, segmenting the creation and reuse of artifacts.</p> <p>Finally, we will define our main command that will be executed when our container starts, that is, we will indicate that we use DotNet to run our dll. We do this as follows:<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code>ENTRYPOINT <span class="o">[</span><span class="s2">"dotnet"</span>, <span class="s2">"Release/HelloWorldApp.dll"</span><span class="o">]</span> </code></pre> </div> <h3> Complete Dockerfile </h3> <p>With all this done, our final Dockerfile should look like the following:<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code>FROM cgr.dev/chainguard/dotnet-sdk:latest AS build COPY <span class="nt">--chown</span><span class="o">=</span>nonroot:nonroot <span class="nb">.</span> /source WORKDIR /source RUN dotnet publish <span class="nt">--use-current-runtime</span> <span class="nt">--self-contained</span> <span class="nb">false</span> <span class="nt">-o</span> Release FROM cgr.dev/chainguard/dotnet-runtime:latest AS final WORKDIR / COPY <span class="nt">--from</span><span class="o">=</span>build /source <span class="nb">.</span> ENTRYPOINT <span class="o">[</span><span class="s2">"dotnet"</span>, <span class="s2">"Release/HelloWorldApp.dll"</span><span class="o">]</span> </code></pre> </div> <h2> Building and Running the Image </h2> <p>With our Dockerfile created, it is time to build our image and see if everything works as expected (this is usually where everything catches fire). To do this, being in the same directory where our Dockerfile is, we will run the following command:<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code>docker build <span class="nt">-t</span> helloworldapp <span class="nb">.</span> </code></pre> </div> <p>Once the build is complete, let's move to the most awaited moment: running a container that will have our dll being executed. To do this, use the command:<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code>docker run <span class="nt">--rm</span> helloworldapp </code></pre> </div> <h2> That's All, Folks </h2> <p>This concludes our journey with the use of secure base images and multi-stage Dockerfiles. Clearly, you can venture further, for example, by creating GitHub workflows that scan the code or container with each push/pull request using tools like Snyk or Trivy.</p> <p>Now it's up to you: abuse and use what we've covered here! Explore other base images, try to understand more how they work, try refactoring Dockerfiles to use multi-stage. Go beyond!</p> <p>Remember: may the force be with you, live long and prosper, and don't panic! Allons-y!</p> docker containers Gabriel Batista Wed, 12 Jun 2024 01:25:28 +0000 https://forem.com/batistagabriel/usando-imagens-base-seguras-2dc7 https://forem.com/batistagabriel/usando-imagens-base-seguras-2dc7 <p><a href="https://media.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fmedia1.tenor.com%2Fm%2FDSG9ZID25nsAAAAC%2Fhello-there-general-kenobi.gif" class="article-body-image-wrapper"><img src="https://media.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fmedia1.tenor.com%2Fm%2FDSG9ZID25nsAAAAC%2Fhello-there-general-kenobi.gif" alt="Hello There!"></a></p> <p>Escrevi este artigo para compartilhar um pouco do que já aprendi no <a href="https://www.linuxtips.io/pick" rel="noopener noreferrer">PICK</a> da <a href="https://www.linuxtips.io/" rel="noopener noreferrer">LinuxTips</a>. Então, pegue sua bebida e me acompanhe.</p> <p>Tudo começou quando, por vezes, as ferramentas de segurança reportavam vulnerabilidades low/mid e, quando íamos avaliar o que era essa vulnerabilidade, nós sempre acabávamos no grande acordo mental: "não é algo que a gente fez, então não tem como resolver".</p> <p>Durante as aulas do PICK, conheci a Chainguard. E aí surgiu a ideia de montar este artigo para mostrar como utilizar uma imagem base segura para construir o container da minha aplicação.</p> <p>Para mostrar isso, vamos containerizar uma aplicação de console bem básica de "hello world" em DotNet ao longo deste artigo, visto que o foco aqui é como montar um Dockerfile para a aplicação de forma mais segura e não a aplicação em si.</p> <h2> Criando a aplicação </h2> <p>Assumindo que você já tenha o SDK do DotNet instalado e configurado em seu ambiente, vamos abrir nosso terminal e começar a criação do projeto. </p> <p>Vamos criar nossa aplicação usando o <a href="https://learn.microsoft.com/en-us/dotnet/core/tools/dotnet-new-sdk-templates#console" rel="noopener noreferrer">template <code>console</code> da CLI do DotNet</a>. Faremos isso utilizando o comando a seguir:<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code>dotnet new console <span class="nt">-o</span> HelloWorldApp </code></pre> </div> <p>Feito isto, vamos para nosso editor de texto preferido para começar a manipular os arquivos contidos no diretório do projeto.</p> <p>Com seu editor de texto aberto, vamos alterar o arquivo <code>Program.cs</code> para que ele tenha nosso "Hello World". Edite seu arquivo para que ele se pareça com o seguinte:<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight csharp"><code><span class="k">namespace</span> <span class="nn">HelloWorldApp</span> <span class="p">{</span> <span class="k">static</span> <span class="k">class</span> <span class="nc">Program</span> <span class="p">{</span> <span class="k">static</span> <span class="k">void</span> <span class="nf">Main</span><span class="p">(</span><span class="kt">string</span><span class="p">[]</span> <span class="n">args</span><span class="p">)</span> <span class="p">{</span> <span class="n">Console</span><span class="p">.</span><span class="nf">WriteLine</span><span class="p">(</span><span class="s">"Hello World!"</span><span class="p">);</span> <span class="p">}</span> <span class="p">}</span> <span class="p">}</span> </code></pre> </div> <h2> Criando o Dockerfile </h2> <p>Perfeito, agora que você criou nossa aplicação (que tem potencial para hackear a NASA), é hora de criarmos nosso Dockerfile para containerizar nossa aplicação. </p> <p><em>Vale lembrar que o Dockerfile precisa ficar no mesmo nível do arquivo csproj, no nosso caso, dentro do diretório <code>HelloWorldApp</code>.</em></p> <p>Para construir nosso Dockerfile, além de utilizar imagens base seguras, vamos utilizar um conceito de organização e performance chamado <a href="https://docs.docker.com/build/building/multi-stage/" rel="noopener noreferrer">multi-stage builds</a>.</p> <h3> Primeira etapa </h3> <p>Sem mais delongas, vamos para a primeira linha do nosso Dockerfile:<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code>FROM cgr.dev/chainguard/dotnet-sdk:latest AS build </code></pre> </div> <p>A imagem base que estamos utilizando possui um escopo reduzido para que apenas haja dependências que satisfaçam o uso do SDK do DotNet. </p> <p>Portanto, se comparado com o escopo de uma imagem base alpine, por exemplo, as chances de nosso container ter vulnerabilidades que não dizem respeito apenas às dependências do SDK do DotNet são bem menores. E este é o grande diferencial de utilizar as imagens base da Chainguard.</p> <p>Ainda sobre a primeira linha, perceba que utilizamos um alias para identificar a etapa que será executada. Neste caso, chamamos a etapa atual de <code>build</code>.</p> <p>Seguindo em frente, para que nós possamos executar nosso comando que irá compilar nossa aplicação e gerar nossa dll (<code>dotnet publish</code>), precisaremos antes declarar que nossos arquivos pertencem a um usuário não root para poderem ser compilados. Faremos isto da seguinte forma:<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code>COPY <span class="nt">--chown</span><span class="o">=</span>nonroot:nonroot <span class="nb">.</span> /source </code></pre> </div> <p>Aqui estamos utilizando o comando <code>COPY</code> para copiarmos todos os arquivos do diretório atual onde está o Dockerfile, sob as permissões de um usuário que não é root, para um diretório dentro do container chamado <code>source</code> que será utilizado posteriormente.</p> <p>Por se tratar de uma imagem base segura, algumas operações (como o publish no nosso caso) requerem um pouco mais de atenção a níveis de permissão, visto que deixar coisas serem compiladas a um nível elevado levaria por água abaixo toda a segurança da imagem.</p> <p>Ao final desta etapa, vamos definir nosso diretório de trabalho padrão e realizar o processo de criação da nossa dll que será direcionada para um diretório chamado <code>Release</code>. Isto será feito nas linhas a seguir:<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code>WORKDIR /source RUN dotnet publish <span class="nt">--use-current-runtime</span> <span class="nt">--self-contained</span> <span class="nb">false</span> <span class="nt">-o</span> Release </code></pre> </div> <h3> Etapa final </h3> <p>Agora, nesta etapa, não precisamos mais que haja dependências relacionadas ao SDK; precisamos agora ter recursos referentes ao runtime do DotNet para executar nossa dll. Para isso, vamos utilizar a seguinte imagem base:<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code>FROM cgr.dev/chainguard/dotnet-runtime:latest AS final </code></pre> </div> <p>Após isso, vamos então partir para a definição do nosso diretório de trabalho padrão e vamos agora utilizar a grande vantagem de se utilizar o multi-stage. Como na etapa de <code>build</code> nós já geramos a nossa dll, podemos então copiar nossa dll para a etapa atual para podermos utilizá-la. Vamos fazer isso da seguinte forma:<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code>WORKDIR / COPY <span class="nt">--from</span><span class="o">=</span>build /source <span class="nb">.</span> </code></pre> </div> <p>Perceba que no comando <code>COPY</code> estamos informando que queremos que seja copiado para o contexto raiz <code>.</code> o que foi gerado no diretório <code>/source</code> da etapa <code>build</code>. E é aí que ganhamos organização e performance em nosso Dockerfile, segmentando a criação e reutilização de artefatos.</p> <p>Por fim, vamos definir qual será nosso comando principal que será executado quando nosso container for iniciado, ou seja, vamos indicar que usemos o DotNet para executar nossa dll. Fazemos isso da seguinte forma:<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code>ENTRYPOINT <span class="o">[</span><span class="s2">"dotnet"</span>, <span class="s2">"Release/HelloWorldApp.dll"</span><span class="o">]</span> </code></pre> </div> <h3> Dockerfile Completo </h3> <p>Com tudo isso feito, nosso Dockerfile final deve se parecer com o seguinte:<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code>FROM cgr.dev/chainguard/dotnet-sdk:latest AS build COPY <span class="nt">--chown</span><span class="o">=</span>nonroot:nonroot <span class="nb">.</span> /source WORKDIR /source RUN dotnet publish <span class="nt">--use-current-runtime</span> <span class="nt">--self-contained</span> <span class="nb">false</span> <span class="nt">-o</span> Release FROM cgr.dev/chainguard/dotnet-runtime:latest AS final WORKDIR / COPY <span class="nt">--from</span><span class="o">=</span>build /source <span class="nb">.</span> ENTRYPOINT <span class="o">[</span><span class="s2">"dotnet"</span>, <span class="s2">"Release/HelloWorldApp.dll"</span><span class="o">]</span> </code></pre> </div> <h2> Build e Execução da Imagem </h2> <p>Com nosso Dockerfile criado, é hora de fazer o build da nossa imagem e ver se tudo funciona como o esperado (geralmente é aqui que tudo pega fogo). Para fazer isso, estando no mesmo diretório onde nosso Dockerfile está, vamos executar o seguinte comando:<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code>docker build <span class="nt">-t</span> helloworldapp <span class="nb">.</span> </code></pre> </div> <p>Após o build concluído, vamos para o momento mais aguardado: a execução de um container que possuirá nossa dll sendo executada. Para isso, utilize o comando:<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight shell"><code>docker run <span class="nt">--rm</span> helloworldapp </code></pre> </div> <h2> Isso É Tudo, Pessoal </h2> <p>Isto conclui nossa jornada com o uso de imagens base seguras e multi-stage em Dockerfiles. Claramente, você pode se aventurar indo além, por exemplo, criando workflows no GitHub que fazem o scan do código ou do container a cada push/pull request usando ferramentas como o Snyk ou o Trivy.</p> <p>Agora é com você: abuse e use o que passamos por aqui! Explore outras imagens base, tente entender mais como funcionam, tente refatorar Dockerfiles para utilizar multi-stage. Vá além!</p> <p>Lembre-se: que a força esteja com você, tenha uma vida longa e próspera e não entre em pânico! Allons-y!</p> docker containers