主页 / 手册 / Docker 强化镜像 / 核心概念核心概念页面选项 复制页面为 Markdown 格式(用于 LLM) 以纯文本查看页面 使用 Docs AI 提问 Claude - 容器教程在 Claude 中打开目录安全元数据和证明合规标准漏洞与风险管理镜像结构和行为验证和可追溯性Docker 强化镜像(DHIs)建立在安全的软件供应链实践基础上。本节解释了该基础背后的核心概念,从签名证明和不可变摘要到 SLSA 和 VEX 等标准。如果您想了解 Docker 强化镜像如何支持合规性、透明度和安全性,请从这里开始。安全元数据和证明证明查看每个 Docker 强化镜像中包含的完整签名证明集,例如 SBOM、VEX、构建溯源和扫描结果。软件物料清单 (SBOM)了解 SBOM 是什么,为什么它们很重要,以及 Docker 强化镜像如何包含签名的 SBOM 以支持透明度和合规性。软件工件供应链级别 (SLSA)了解 Docker 强化镜像如何符合 SLSA 构建级别 3,以及如何验证溯源以实现安全、防篡改的构建。镜像来源了解构建溯源元数据如何帮助追溯 Docker 强化镜像的来源,并支持符合 SLSA。合规标准FIPS了解 Docker 强化镜像如何通过使用经过验证的加密模块并为合规性审计提供签名证明来支持 FIPS 140。STIG了解 Docker 强化镜像如何提供经过 STIG 强化的容器镜像,并附有可验证的安全扫描证明,以满足政府和企业的合规要求。CIS 基准了解 Docker 强化镜像如何帮助您满足互联网安全中心 (CIS) Docker 基准要求,以实现安全的容器配置和部署。漏洞与风险管理常见漏洞和暴露 (CVE)了解 CVE 是什么,Docker 强化镜像如何减少暴露,以及如何使用常用工具扫描镜像中的漏洞。漏洞可利用性交换 (VEX)了解 VEX 如何通过识别 Docker 强化镜像中实际可利用的漏洞来帮助您优先处理真实风险。软件供应链安全了解 Docker 强化镜像如何通过签名元数据、溯源和最小化攻击面,帮助确保软件供应链的每个阶段都安全。安全软件开发生命周期 (SSDLC)了解 Docker 强化镜像如何通过与扫描、签名和调试工具集成来支持安全的 SDLC。镜像结构和行为Distroless 镜像了解 Docker 强化镜像如何使用无发行版变体来最小化攻击面并移除不必要的组件。Docker 强化镜像中的 glibc 和 musl 支持比较 DHIs 的 glibc 和 musl 变体,为您的应用程序兼容性、大小和性能需求选择正确的基础镜像。镜像不可变性了解镜像摘要、只读容器和签名元数据如何确保 Docker 强化镜像防篡改且不可变。镜像强化了解 Docker 强化镜像如何为安全性而设计,具有最小化组件、非根执行和默认安全配置。验证和可追溯性摘要了解如何使用不可变镜像摘要来保证一致性并验证您正在运行的 Docker 强化镜像是否准确无误。代码签名了解 Docker 强化镜像如何使用 Cosign 进行加密签名,以验证真实性、完整性和安全溯源。