Docker 是一個非常流行的應用容器化平臺，它能夠在一個操作系統上運行多個應用程序的獨立容器。這個平臺的優勢是快速搭建、方便擴展及部署，這也是為什么它能在云計算業務中迅速得到廣泛的應用。

然而，盡管Docker容器是隔離的，安全情況也相對于其他運行環境更可控，但是我們不能保證Docker就是萬無一失，它也會存在漏洞。

Docker容器的一個漏洞就是Dockerfile COPY/ADD命令存在安全隱患。COPY/ADD命令在Dockerfile中是用來將本地文件或目錄復制到容器中，以方便在容器中直接讀取數據。

# 假設 Dockerfile 中有如下命令
FROM ubuntu
RUN apt-get update && apt-get install -y nginx
COPY nginx.conf /etc/nginx/nginx.conf # 將 nginx.conf 文件復制到容器的 /etc/nginx/nginx.conf 路徑
CMD ["nginx", "-g", "daemon off;"]

由于COPY / ADD命令不會驗證文件的真實性，所以攻擊者有可能通過替換Dockerfile中的COPY / ADD命令中源文件的方式，將惡意文件引入到Docker容器中來，從而成功攻擊容器內的應用程序。

有一種非常常見的攻擊是利用準備好的Docker鏡像，并尋找安裝有漏洞的應用程序。一旦找到后，攻擊者就可以通過替換容器中復制的源文件來進行攻擊。攻擊者通過替換源文件的方式來將惡意文件引入到容器中，從而導致容器被攻擊后破壞應用程序。

為了防止這種攻擊，在復制敏感文件時，最好是從Trusted Source中獲取。 Trusted Source是指通過SHA的驗證和驗證數字簽名來驗證文件的真實性。這樣可以確保目標容器中的文件與源文件相同，而不會被攻擊者替換。

因此，在使用Dockerfile文件構建Docker鏡像時，請務必注意這些安全問題，以確保容器的安全性，從而保護你的應用程序。