理解 Docker 加固镜像的角色和职责

Table of contents

Docker 加固镜像 由 Docker 策划和维护,并使用上游开源组件构建。为了提供安全性、可靠性和合规性,职责由三方共同分担:

  • 上游维护者:负责每个镜像中所含开源软件的开发者和社区。
  • Docker:加固、签署和维护容器镜像的提供者。
  • 您(客户):在您的环境中运行和(可选)自定义 DHI 的消费者。

本主题概述了各方负责的内容,以便您可以有效且安全地使用 DHI。

发布

  • **上游:**发布和维护包含在 DHI 中的软件组件的官方版本。这包括版本控制、更新日志和弃用通知。
  • **Docker:**基于上游版本构建、加固和签署 Docker 加固镜像。Docker 根据上游发布时间表和内部策略维护这些镜像。
  • **您:**确保您使用的是受支持的 DHI 和上游项目版本。使用过时或不受支持的组件可能会引入安全风险。

打补丁

  • **上游:**维护和更新每个组件的源代码,包括修复库和依赖项中的漏洞。
  • **Docker:**应用上游补丁后重新构建并重新发布镜像。Docker 监控漏洞并向受影响的镜像发布更新。仅 DHI 企业版包含 SLA。DHI 免费版提供一个安全基线,但不保证修复时间表。
  • **您:**在您的环境中应用 DHI 更新,并为任何您在基础镜像之上安装的软件或依赖项打补丁。

测试

  • **上游:**定义原始软件的行为和功能,并负责验证核心功能。
  • **Docker:**验证 DHI 能够启动、运行,且行为与上游预期一致。Docker 还会运行安全扫描,并为每个镜像附带一个 测试证明
  • **您:**在 DHI 之上测试您的应用程序,并验证任何更改或自定义项在您的环境中是否按预期运行。

安全与合规

  • **Docker:**为每个镜像发布已签名的 SBOM、VEX 文档、来源证明数据 和 CVE 扫描结果,以支持合规性和供应链安全。
    • 对于免费的 DHI 用户:所有安全元数据和透明度功能均免费包含在内。
    • 对于 DHI 企业版用户:可使用额外的合规性变体(如 FIPS 和 STIG)和自定义功能,并在基础镜像打补丁时自动重新构建。
  • **您:**将 DHI 集成到您的安全和合规工作流中,包括漏洞管理和审计。

支持

  • Docker:
    • 对于免费的 DHI 用户:可提供社区支持和公开文档。
    • 对于 DHI 企业版用户:可为关键业务应用程序访问 Docker 的企业支持团队。
  • **您:**关注 Docker 的发布说明、安全公告和文档,以获取更新和最佳实践。

摘要

Docker 加固镜像为您提供了一个安全的基础,包含已签名的元数据和上游透明度。您的职责是明智地使用这些镜像,及时应用更新,并验证您的配置和应用程序是否符合您的内部要求。