InfoQ
·
Docker推出安全性增强的基础镜像
💡
原文英文,约400词,阅读约需2分钟。
📝
内容提要
Docker推出了安全性增强的基础镜像(DHI),旨在减少容器应用漏洞,支持安全软件供应链。DHI采用无发行版构建,去除多余组件,攻击面减少95%。每个镜像定期自动更新,关键漏洞在七天内修复,兼容现有Dockerfile,适用于受监管行业。DHI已在Docker Hub上线。
🎯
关键要点
- Docker推出了安全性增强的基础镜像(DHI),旨在减少容器应用漏洞,支持安全软件供应链。
- DHI采用无发行版构建,去除多余组件,显著减少攻击面。
- 与传统基础镜像相比,DHI减少了高达95%的漏洞风险。
- 每个镜像定期自动更新,关键漏洞在七天内修复,确保接近零的已知CVE数量。
- DHI镜像兼容现有Dockerfile,旨在最小化构建管道的干扰。
- DHI镜像包括签名的软件材料清单(SBOM)和来源元数据,支持透明度和供应链可见性。
- Docker已宣布早期集成合作伙伴,包括Microsoft、GitLab、JFrog等,确保DHI与流行的安全和CI/CD工具无缝协作。
- 内部测试显示,使用DHI替换标准Node.js镜像后,安装包数量减少98%,已知CVE消除。
- DHI现已在Docker Hub上线,访问权限由Docker的订阅层级决定,包含设置文档和定制工具。
❓
延伸问答
Docker的安全性增强基础镜像有什么特点?
Docker的安全性增强基础镜像(DHI)采用无发行版构建,去除多余组件,攻击面减少95%,并定期自动更新,关键漏洞在七天内修复。
DHI如何支持安全软件供应链?
DHI包括签名的软件材料清单(SBOM)和来源元数据,增强透明度和供应链可见性,适合受监管行业使用。
使用DHI替换标准镜像有什么好处?
使用DHI替换标准Node.js镜像后,安装包数量减少98%,并消除了已知的CVE,显著提高了安全性。
DHI与现有Dockerfile的兼容性如何?
DHI设计为与现有Dockerfile兼容,旨在最小化构建管道的干扰,方便用户迁移。
DHI的更新频率是怎样的?
DHI的每个镜像定期自动更新,关键漏洞在七天内修复,确保接近零的已知CVE数量。
DHI目前在哪些平台上可用?
DHI现已在Docker Hub上线,访问权限由Docker的订阅层级决定,并包含设置文档和定制工具。
➡️
