今天在网上晃悠的时候看到了这个 Nginx Proxy Manager 的 issue,2024年1月的 issue:
https://github.com/NginxProxyManager/nginx-proxy-manager/issues/3503

该死,400 多个 CVE 漏洞,真的假的?

他 issue 里面提供的扫描容器的网址已经挂了,不过没关系。
有个开源的容器漏洞扫描工具叫做 Trivvy,我用这个工具扫描了一下最新的 Nginx Proxy Manager 的 docker 镜像。
https://github.com/aquasecurity/trivy

该死,900多个 CVE 漏洞,436个中等,81个高危,还有两个严重 (critical) 级别的漏洞,这是最新的,正跑在可能数万人的服务器上的镜像啊

有点吓人,考虑到 Nginx Proxy Manager 应该现在还是自部署领域比较主流的反向代理工具,影响面还是挺大的。

如果可以的话还是改用其他的反向代理吧。

关于 “容器被黑了又能怎么样” 的问题

碎碎念

刚接触 docker 和反向代理的时候,我用的就是 Nginx Proxy Manager,后来嫌 bug 多就换成 caddy 了。主要是被他们 GitHub 页面上 1.5K 的 issue 吓到了… 这种 web 项目的 issue 这么多,还有一堆是 bug,要怎么保证这玩意儿的安全… 安全漏洞有修吗?

呃… 看起来我当时的想法还是有点道理的… 他们可能没修…

(这篇文章也发在了)