slimtoolkit/slim

build --exec will keep /bin/sh even with --include-shell=false

Open

#551 aperta il 22 lug 2023

Vedi su GitHub
 (2 commenti) (0 reazioni) (0 assegnatari)Go (673 fork)batch import
commentenhancementhelp wantedquestion

Metriche repository

Star
 (17.694 star)
Metriche merge PR
 (Nessuna PR mergiata in 30 g)

Descrizione

Expected Behavior

When using the build command with --include-shell=false the shell script(s) should be removed from the image

Actual Behavior

It appears as if the shell used to run the --exec script will be included in the assets to keep (probably because it is actually running at the time of analysis)

Steps to Reproduce the Problem

  1. Minimize a standard unbuntu image, do not run any script:
>~/apps/dist_linux/slim build --http-probe=false --include-shell=false ubuntu:22.04

Try to execute a shell inside the minimized image, as expected, docker will complain:

>docker run --rm -ti ubuntu.slim /bin/sh
docker: Error response from daemon: failed to create shim task: OCI runtime create failed: runc create failed: unable to start container process: exec: "/bin/sh": stat /bin/sh: no such file or directory: unknown.
  1. Fake a script run:
~/apps/dist_linux/slim build --http-probe=false --include-shell=false --exec /bin/true ubuntu:22.04

Run the /bin/sh shell inside the trimmed image (you get a shell prompt):

>docker run --rm -ti ubuntu.slim /bin/sh
#

This is probably not a bug but an unexpected side-effect of the build internal implementation. Maybe an additional option like --run dedicated to run binary files bypassing the shell (like ENTRYPOINT do with its json array arguments) would clarify the intent and preserve the semantics of --include-shell ?

Specifications

slim version linux|Transformer|1.40.3|155f1b79556b7d100726f5ef4633f81a6ed27a2b|2023-07-13_07:46:40AM

  • Platform:
  • Distributor ID: Ubuntu Description: Ubuntu 22.04.2 LTS Release: 22.04 Codename: jammy

Guida contributor

Direzione di ricerca
Analizza il codice di gestione exec nel comando di build per comprendere come viene eseguito lo script exec e come l'analisi dei file includa la shell. L'obiettivo è garantire che quando include shell=false, la shell utilizzata per eseguire exec non venga mantenuta nell'immagine finale. Ciò potrebbe comportare la modifica del processo di spawn di exec per evitare il coinvolgimento della shell o l'aggiunta di una nuova opzione run che esegua i binari direttamente senza una shell. Rivedi i file sorgente pertinenti, probabilmente nell'esecutore di build o nel runner di comandi, e verifica se ci sono discussioni o PR esistenti che affrontano questo problema.
Tech stack
goshell
Dominio
devops
Tipo issue
Bug
DifficoltàQuanto dovrebbe essere impegnativa per un nuovo contributor.
3
Tempo stimatoTempo stimato per completare e verificare uno scope piccolo.
Mezza giornata
Stato attivitàQuanto è probabile che la issue sia ancora attiva e reviewable.
Datata
ChiarezzaQuanto chiaramente la issue descrive problema, scope e risultato atteso.
Chiara
Prerequisiti
Go basicsDocker image concepts
Adatta ai principiantiQuanto la issue è adatta a contributor alla prima esperienza.
45