加固、安全的映象

目錄

Docker 強化映象 (DHI) 旨在為容器化應用程式提供強大的安全基礎,以應對軟體供應鏈安全不斷變化的挑戰。

近乎零漏洞和非 root 執行

每個 DHI 都經過精心構建,透過持續掃描和更新消除已知漏洞,實現近乎零的常見漏洞和暴露 (CVE)。透過遵循最小許可權原則,DHI 映象預設以非 root 身份執行,從而降低生產環境中許可權提升攻擊的風險。

全面的供應鏈安全

DHI 整合了多層安全元資料,以確保透明度和信任

  • SLSA 3 級合規性:每個映象都包含詳細的構建來源,符合軟體工件供應鏈級別 (SLSA) 框架設定的標準。

  • 軟體物料清單 (SBOM):提供全面的 SBOM,詳細說明映象中的所有元件,以便進行漏洞管理和合規性審計。

  • 漏洞可利用性交換 (VEX) 宣告:每個映象都附帶 VEX 文件,提供已知漏洞及其可利用性狀態的背景資訊。

  • 加密簽名和證明:所有映象和相關元資料都經過加密簽名,確保完整性和真實性。

極簡且對開發者友好的選項

DHI 提供極簡和開發友好的映象變體

  • 極簡映象:採用無發行版方法構建,這些映象移除了不必要的元件,將攻擊面減少高達 95%,並縮短了啟動時間。

  • 開發映象:配備了必要的開發工具和庫,這些映象有助於安全地構建和測試應用程式。