使用可信的基础镜像
描述
确保容器镜像是从头开始编写的,或者是基于通过安全仓库下载的另一个已建立且可信的基本镜像
隐患分析
官方存储库是由Docker
社区或供应商优化的Docker
镜像。
可能还存在其他不安全的公共存储库。 在从Docker
和第三方获取容器镜像时,需谨慎使用。
审计方式
1.检查
Docker
主机以查看执行以下命令使用的Docker
镜像:
```shell script $ docker images
这将列出当前可用于`Docker`主机的所有容器镜像。
访谈系统管理员并获取证据,证明镜像列表是通过安全的镜像仓库获到的,也可简单的从镜像的`TAG`名称来判断是否为可信镜像。
> 2.检查镜像信息
对于在`Docker`主机上找到的每个`Docker`镜像,检查镜像的构建方式,以验证是否来自可信来源:
```shell script
$ docker history <imageName>
修复建议
- 中间件等应用使用官方镜像
- 构建镜像时选用
alpine
、CentOS
等官方镜像
从源头杜绝不安全镜像
参考文档
- Docker容器最佳安全实践白皮书(V1.0)
- Docker官方文档