Чем FROM scratch отличается от FROM alpine и от FROM distroless? Когда что выбирать?

FROM scratch

Scratch — это пустой псевдообраз без файловой системы: нет shell, нет libc, нет утилит, нет директорий. Образ содержит только то, что ты явно добавишь через COPY.

Требование: бинарь должен быть статически слинкован со всеми зависимостями.

FROM golang:1.22-alpine AS builder
WORKDIR /src
COPY . .
RUN CGO_ENABLED=0 GOOS=linux go build -ldflags="-s -w" -o /app ./cmd/server

FROM scratch
COPY --from=builder /app /app
COPY --from=builder /etc/ssl/certs/ca-certificates.crt /etc/ssl/certs/
EXPOSE 8080
ENTRYPOINT ["/app"]

Размер финального образа — только размер бинаря (обычно 5–20 МБ для Go-сервиса). Максимальная поверхность атаки: нулевая — нечего эксплуатировать.

Когда выбирать: статически скомпилированные Go или Rust сервисы, утилиты без системных зависимостей.

Ограничения: нельзя docker exec /bin/sh для отладки; нет DNS-резолвера без /etc/resolv.conf (нужно копировать); нет корневых CA-сертификатов (нужно копировать вручную).

FROM alpine

Alpine Linux — минимальный дистрибутив (~7 МБ) с musl libc вместо glibc, busybox и пакетным менеджером apk.

FROM alpine:3.20
RUN apk add --no-cache ca-certificates tzdata
COPY --from=builder /app /app
USER nonroot:nonroot
ENTRYPOINT ["/app"]

Преимущества: есть shell для отладки, работает apk для доустановки пакетов, корневые CA уже доступны через пакет ca-certificates.

Когда выбирать: Go/Rust приложения, которым нужен иногда доступный shell; скрипты на bash/sh; ситуации, когда нужно устанавливать дополнительные системные пакеты.

Ограничения: musl несовместим с некоторыми C-расширениями, скомпилированными под glibc (numpy wheel, некоторые native Python пакеты). Для Python предпочтительнее slim-образы на Debian.

FROM distroless

Distroless (Google) — образы без shell и пакетного менеджера, но с нужным рантаймом (Python, Java, Node, Go) и системными библиотеками (glibc). Это «alpine без apk и bash, но с glibc».

FROM python:3.12-slim AS builder
WORKDIR /app
COPY requirements.txt .
RUN pip install --no-cache-dir --prefix=/install -r requirements.txt
COPY . .

FROM gcr.io/distroless/python3-debian12
COPY --from=builder /install /usr/local
COPY --from=builder /app /app
WORKDIR /app
ENTRYPOINT ["python3", "main.py"]

Семейство distroless: gcr.io/distroless/static-debian12 (как scratch + ca-certs + tzdata), gcr.io/distroless/base-debian12 (+ glibc), gcr.io/distroless/python3-debian12, gcr.io/distroless/java21-debian12, gcr.io/distroless/nodejs20-debian12.

Когда выбирать: Python/Java/Node приложения, где нужен glibc-совместимый рантайм, минимальная атакуемая поверхность и нет необходимости в shell.

Сравнение

• scratch: 0 МБ база, только статические бинари, нет отладки, максимальная безопасность.
• alpine: ~7 МБ, musl libc, есть shell и apk, хорош для Go и shell-скриптов.
• distroless: 20–80 МБ, glibc + рантайм языка, нет shell, отладка через :debug тег.

Подводные камни

• scratch без /etc/ssl/certs/ca-certificates.crt — HTTPS-запросы упадут с ошибкой «x509: certificate signed by unknown authority». Копируй сертификаты из builder-образа.
• Alpine + Python: glibc wheel (.whl) не запустится под musl — нужна сборка из исходников или использование musl-specific wheel. Это резко замедляет сборку.
• distroless debug-тег содержит busybox — используй его только для отладки, не в production: gcr.io/distroless/python3:debug.
• Статическая линковка Go с CGO_ENABLED=1 (нужна для пакетов типа sqlite3) несовместима с FROM scratch без ручного копирования libc.
• distroless образы обновляются ежедневно — без пина по digest возможны неожиданные изменения поведения.
• В alpine нет groupadd/useradd — для создания непривилегированного пользователя используй addgroup и adduser.
• alpine:3.20 и alpine:latest — разные теги, latest может получить мажорное обновление; всегда пиннируй минорную версию.

• Считать, что меньший image всегда автоматически безопаснее и удобнее.
• Забывать CA certificates, libc и timezone data в scratch/distroless вариантах.
• Выбирать Alpine для бинарника, который ожидает glibc, без проверки.

• Различает пустой image, минимальный distro и runtime-only image.
• Учитывает debugging и production operations.
• Понимает libc и runtime dependency implications.