目前 Docker 官方维护了一个公共仓库 Docker Hub大部分需求都可以通过在 Docker Hub 中直接下载镜像来实现,其中已经包括了数量超过 15,000的镜像。。
Docker Hub被用于源代码管理集成,也用于构建和测试工具来加速部署周期,部署周期从天减少到以分钟计算。
(https://hub.docker.com/)
据网友透露,其在今日收到了一封邮件
大致为
Docker官方公共仓库Docker Hub被黑,涉及19万帐户,目前GitHub令牌被撤销且无法编译项目
英文版如截图:
中文翻译大致如下:
“在2019年4月25日星期四,我们发现有人未经授权访问了存储一部分非财务用户数据的单个Hub数据库。发现之后,我们已经迅速采取干预措施并保护网站。
我们希望向您介绍我们从正在进行的调查中了解到的内容,包括哪些Hub帐户受到影响,以及用户应采取的操作。
这是我们看到的:
在未经授权访问Docker Hub数据库的短暂时间内,可能已暴露大约190,000个帐户的敏感数据(少于5%的Hub用户)。
数据包括一小部分用户的用户名和散列密码,以及Docker autobuild的Github和Bitbucket令牌。
采取的行动:
- 我们要求用户在Docker Hub和共享此密码的任何其他帐户上更改密码。
- 对于具有可能受影响的autobuild的用户,我们已撤销GitHub令牌和访问密钥,并要求您重新连接到您的存储库并检查安全日志以查看是否发生了任何意外操作。
- 您可以在GitHub或BitBucket帐户上查看安全操作,以查看过去24小时内是否发生任何意外访问 - 请访问
https://help.github.com/en/articles/reviewing-your-security-log
https://bitbucket.org/blog/new-audit-logs-give-you-the-who-what-when-and-where
- 这可能会影响我们的Automated构建服务的持续构建。您可能需要取消链接,然后重新链接您的Github和Bitbucket源提供程序,如
https://docs.docker.com/docker-hub/builds/link-source/
中所述我们正在加强整体安全流程并审核我们的政策。现在有了额外的监测工具。
我们的调查仍在进行中,我们将在可用时分享更多信息。
谢谢,
Kent Lamb Docker支持总监info@docker.com“
黑鸟在此提醒
所以如果你收到电子邮件,你应该:
-在https://hub.docker.com上更改密码
-检查https://github.com/settings/security
-重新连接自动构建的oauth
-滚动存储在私有存储库/容器中的受影响的密码和API密钥
做快照:
-密码哈希
-Github令牌
-Bitbucket令牌
-您的自动构建可能需要新的令牌
信息来源:
https://news.ycombinator.com/item?id=19763413
来源网站下面的评论也是精彩万分,有兴趣的同学可以去看一下。
还有人说修改密码失败,并且存在问题
并且列举了一系列docker hub替代品
近期看点(点击即可):
欢迎下方长按识别二维码关注本公众号
更多情报和数据,请关注公众号,点击菜单栏,扫码加入知识星球
感谢您的关注和转发
右下角
朕已阅
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
