使用可信的基础镜像

描述

确保容器镜像是从头开始编写的,或者是基于通过安全仓库下载的另一个已建立且可信的基本镜像

隐患分析

官方存储库是由Docker社区或供应商优化的Docker镜像。 可能还存在其他不安全的公共存储库。 在从Docker和第三方获取容器镜像时,需谨慎使用。

审计方式

1.检查Docker主机以查看执行以下命令使用的Docker镜像:

```shell script $ docker images


这将列出当前可用于`Docker`主机的所有容器镜像。
访谈系统管理员并获取证据,证明镜像列表是通过安全的镜像仓库获到的,也可简单的从镜像的`TAG`名称来判断是否为可信镜像。

> 2.检查镜像信息

对于在`Docker`主机上找到的每个`Docker`镜像,检查镜像的构建方式,以验证是否来自可信来源:

```shell script
$ docker history  <imageName>

修复建议

  • 中间件等应用使用官方镜像
  • 构建镜像时选用alpineCentOS等官方镜像

从源头杜绝不安全镜像

参考文档

Copyright © weiliang 2021 all right reserved,powered by Gitbook本书发布时间: 2024-04-22 16:03:42

results matching ""

    No results matching ""