了解 Docker 强化镜像的角色和职责

Docker 强化镜像 (DHI) 由 Docker 精心策划和维护，并使用上游开源组件构建。为了提供安全性、可靠性和合规性，职责由三个组分担

• 上游维护者：负责每个镜像中包含的开源软件的开发者和社区。
• Docker：强化、签名和维护容器镜像的提供商。
• 您（客户）：在您的环境中运行并可选地自定义 DHI 的消费者。

本主题概述了谁负责什么，以便您可以有效和安全地使用 DHI。

版本发布

• 上游：发布和维护 DHI 中包含的软件组件的官方版本。这包括版本控制、变更日志和弃用通知。
• Docker：基于上游版本构建、强化和签署 Docker 强化镜像。Docker 根据上游发布时间表和内部政策维护这些镜像。
• 您：确保您使用受支持的 DHI 和上游项目版本。使用过时或不受支持的组件可能会引入安全风险。

补丁管理

• 上游：维护和更新每个组件的源代码，包括修复库和依赖项中的漏洞。
• Docker：重建并重新发布应用了上游补丁的镜像。Docker 还监控漏洞并迅速发布受影响镜像的更新。
• 您：在您的环境中应用 DHI 更新，并修补您在基础镜像之上安装的任何软件或依赖项。

测试

• 上游：定义原始软件的行为和功能，并负责验证核心功能。
• Docker：验证 DHI 启动、运行并与上游预期一致。Docker 还运行安全扫描，并在每个镜像中包含测试证明。
• 您：在 DHI 之上测试您的应用程序，并验证任何更改或自定义在您的环境中是否按预期运行。

安全与合规

• Docker：随每个镜像发布已签名的 SBOM、VEX 文档、溯源数据和 CVE 扫描结果，以支持合规性和供应链安全。
• 您：将 DHI 集成到您的安全和合规工作流程中，包括漏洞管理和审计。

摘要

Docker 强化镜像为您提供了一个安全的基础，包含签名的元数据和上游透明度。您的职责是明智地使用这些镜像，及时应用更新，并验证您的配置和应用程序是否符合您的内部要求。