探索 Docker 硬化镜像
Table of contents
Docker 硬化镜像 (DHI) 是一套经过筛选的安全、生产就绪的容器镜像。本页介绍如何探索可用的 DHI 仓库、查看镜像元数据、检查变体详情以及理解所提供的安全证明。利用这些信息来评估并为您的应用程序选择合适的镜像变体。
探索 Docker 硬化镜像
要探索 Docker 硬化镜像 (DHI):
- 前往 Docker Hub 并登录。
- 选择 My Hub。
- 在命名空间下拉菜单中,选择拥有 DHI 访问权限的组织。
- 选择 Hardened Images > Catalog。
在 DHI 页面上,您可以浏览镜像、搜索镜像或按类别筛选镜像。
查看仓库详情
要查看仓库详情:
- 前往 Docker Hub 并登录。
- 选择 My Hub。
- 在命名空间下拉菜单中,选择拥有 DHI 访问权限的组织。
- 选择 Hardened Images > Catalog。
- 在 DHI 目录列表中选择一个仓库。
仓库详情页面提供以下内容:
- 概述:镜像的简要说明。
- 指南:关于如何使用镜像以及迁移现有应用程序的几篇指南。
- 标签:选择此选项以查看镜像变体。
- 安全摘要:选择标签名称以查看快速安全摘要,包括软件包数量、已知漏洞总数和 Scout 健康评分。
- 最近推送的标签:最近更新的镜像变体列表及其最后更新时间。
- 镜像到仓库:选择此选项可将镜像镜像到您组织的仓库中以便使用。只有组织所有者才能镜像仓库。
- 在仓库中查看:仓库被镜像后,您可以选择此选项查看仓库被镜像到的位置,或将其镜像到另一个仓库。
查看镜像变体
标签用于标识镜像变体。镜像变体是同一应用程序或框架针对不同用例量身定制的不同构建版本。
要探索镜像变体:
- 前往 Docker Hub 并登录。
- 选择 My Hub。
- 在命名空间下拉菜单中,选择拥有 DHI 访问权限的组织。
- 选择 Hardened Images > Catalog。
- 在 DHI 目录列表中选择一个仓库。
- 选择 Tags。
Tags 页面提供以下信息:
- 标签:所有可用标签(也称为镜像变体)的列表。
- 合规性:列出相关的合规性指定。例如,
FIPS或STIG。 - 发行版:变体所基于的发行版。例如,
debian 12或alpine 3.21。 - 软件包管理器:变体中可用的软件包管理器。例如,
apt、apk或-(无软件包管理器)。 - Shell:变体中可用的 shell。例如,
bash、busybox或-(无 shell)。 - 用户:容器运行时使用的用户。例如,
root、nonroot (65532)或node (1000)。 - 最后推送:镜像变体上次推送的天数前。
- 漏洞:根据严重程度划分的变体中的漏洞数量。
- 健康:变体的 Scout 健康评分。选择评分图标以获取更多详情。
Note与 Docker Hub 上的大多数镜像不同,Docker 硬化镜像不使用
latest标签。每个镜像变体都使用完整的语义版本标签(例如,3.13、3.13-dev)发布,并保持最新。如果您需要固定到特定的镜像版本以确保可重现性,可以通过其摘要引用镜像。
查看镜像变体详情
要探索镜像变体的详情:
- 前往 Docker Hub 并登录。
- 选择 My Hub。
- 在命名空间下拉菜单中,选择拥有 DHI 访问权限的组织。
- 选择 Hardened Images > Catalog。
- 在 DHI 目录列表中选择一个仓库。
- 选择 Tags。
- 在表格中选择镜像变体的标签。
镜像变体详情页面提供以下信息:
- 软件包:镜像变体中包含的所有软件包列表。此部分包括每个软件包的详细信息,包括其名称、版本、发行版和许可信息。
- 规范:镜像变体的规范包括以下关键细节:
- 源代码和构建信息:镜像构建自此处的 Dockerfile 和 Git 提交。
- 构建参数
- 入口点 (Entrypoint)
- CMD
- 用户
- 工作目录
- 环境变量
- 标签
- 平台
- 漏洞:漏洞部分提供镜像变体的已知 CVE 列表,包括:
- CVE
- 严重程度
- 软件包
- 修复版本
- 最后检测时间
- 状态
- 已抑制的 CVE
- 证明:变体包含全面的安全证明,用于验证镜像的构建过程、内容和安全状况。这些证明已签名,可以使用 cosign 进行验证。有关可用证明的列表,请参阅证明。