Veel .NET container images bevatten kwetsbaarheden die niet afkomstig zijn van de applicatiecode zelf, maar van de manier waarop het image is opgebouwd. Base images, package managers en impliciete runtime-afhankelijkheden introduceren risico’s waarvoor het vaak onduidelijk is wie er verantwoordelijk is: de ontwikkelaar, het platformteam of het securityteam.

In deze sessie laat ik zien hoe deze kwetsbaarheden ontstaan en waarom ze lastig te beheersen zijn binnen klassieke Dockerfile-gebaseerde workflows. Ik bespreek de beperkingen van distroless images en waarom “minder packages” niet automatisch betekent “minder risico”.

Vervolgens demonstreer ik hoe apko een ander model afdwingt: container images als declaratief samengestelde runtime-artefacten, opgebouwd uit expliciete packages zonder shell of package manager. Aan de hand van .NET-voorbeelden toon ik hoe deze aanpak impact heeft op vulnerability scanning, SBOMs en ownership binnen teams.

Na afloop van deze sessie ben je bewust van image build strategies, base images en neem je verantwoordelijkheid voor security door het kiezen van de juiste base image, of bouw hem zelf!