docker镜像的安全性

[coolcoolcoo]

如果我把SecretFlow的镜像安装到了第三方平台上，假如别人窃取了第三方平台的root权限，那么攻击者便可以通过docker exec -it 镜像名进入我在第三方平台的镜像窃取秘密，docker镜像的安全如何保证？

[zhouaihui]

首先，secretflow镜像本身只包含代码（二进制），并无任何敏感数据和信息，所以我理解你说的镜像是你自己添加了私有数据/信息的镜像。

那么你描述的场景似乎可以重新表述为：我把私有数据（以镜像的形式）给了第三方平台，平台如何保证我的安全性。就比如你使用了阿里云的服务，你的数据在阿里云上，但是阿里云可能被攻击导致你的数据被偷走。

这听起来是一个通用的问题，而不是secretflow本身的问题。第三方平台需要有足够的安全防御手段提供安全防护，这里可能涉及到传统的安全防护，比如防火墙、杀毒、漏洞修复等。

如果是考虑隐私计算，这种把数据托管到第三方的场景，其实可以考虑使用可信执行环境（TEE）来解决。敏感数据以加密的形式被安全托管在TEE，你可以依赖TEE的安全性来保障你数据的安全。隐语即将开源基于TEE的数据跨域管控系统，敬请期待。

[coolcoolcoo]

在TEEU上手指南中，alice和bob分别启动一个ray集群，alice和bob的两个ray集群需要传递数据吗？

[coolcoolcoo]

docker run -it secretflow/secretflow-anolis8:${version} 这里用到的镜像和龙蜥操作系统有什么关系吗？

[zhouaihui]

alice和bob的ray集群是独立无关的。

[zhouaihui]

是用龙蜥操作系统作为基础

[coolcoolcoo]

在teeu上手指南中alice，bob，caro，是通过20001端口传递数据的，那么alice，bob所开启的ray集群在Teeu上手指南这个例子里面的作用是什么那？