Image 크기 + 스캔 — 같은 목표, 두 lever

~14 min · security, size

Level 0Container 호기심

0 XP0/36 lessons0/10 achievements

0/120 XP to next level120 XP to go0% complete

작은 image 가 더 안전 (대체로)

Surface 적음 = 라이브러리 적음 = CVE 적음. Slim/distroless/scratch 모두 full Debian/Ubuntu 보다 위험 적게 들고 다님. 크기 작으면 pull 빠름, 저장 싸고, 스캔 빠름.

CI 에서 스캔, critical CVE 면 fail

Docker Scout 가 Docker Desktop 에 포함. Trivy 는 인기 오픈소스 대안. 둘 다 image 의 OS 패키지와 언어 의존성에서 알려진 CVE 스캔. Build pipeline 에서 돌리고 Critical/High 발견 시 build fail.

Code

Image 크기 최적화·bash

# Compare
docker images myapp --format 'table {{.Repository}}:{{.Tag}}\t{{.Size}}'

# Inspect the layers (where bloat hides)
docker history myapp:1.0

# Common wins:
#  - Multi-stage builds (we covered)
#  - .dockerignore (we covered)
#  - Slim/distroless base
#  - Combine RUN apt-get update && apt-get install -y ...
#    && rm -rf /var/lib/apt/lists/* in ONE layer

Docker Scout 와 Trivy 로 스캔·bash

# Docker Scout (built into Docker Desktop)
docker scout quickview myapp:1.0
docker scout cves myapp:1.0
docker scout recommendations myapp:1.0

# Trivy (works without Docker Desktop)
docker run --rm \
  -v /var/run/docker.sock:/var/run/docker.sock \
  aquasec/trivy image myapp:1.0

# In CI: fail on HIGH or CRITICAL
docker run --rm \
  -v /var/run/docker.sock:/var/run/docker.sock \
  aquasec/trivy image --exit-code 1 --severity HIGH,CRITICAL myapp:1.0

External links

Exercise

본인 image 하나 골라. docker scout quickview 또는 Trivy 돌려. severity 별 CVE 수 적어. 최적화 둘 적용 (multi-stage, slim base) 후 재스캔. Critical/High 줄었어?

Progress

Progress is local-only — sign in to sync across devices.

← PreviousSecret — 굽지 마, commit 하지 마 🔍 Container 디버깅 — Exit Code 읽어 →'왜 안 시작되지?' 체크리스트

이 페이지에서 버그를 발견하셨거나 피드백이 있으세요?문제 신고

🔔 답글 알림 (로그인 필요)

로그인 — 댓글을 남기려면 로그인해 주세요.

아직 댓글이 없어요. 첫 댓글을 남겨보세요.