镜像来源
目录
什么是镜像溯源?
镜像溯源指的是追踪容器镜像来源、作者和完整性的元数据。它回答了以下关键问题:
- 这个镜像从何而来?
- 谁构建了它?
- 它是否被篡改过?
溯源建立了保管链,帮助您验证所使用的镜像是否源自受信任且可验证的构建过程。
为什么镜像溯源很重要
溯源是保护软件供应链的基础。没有它,您将面临以下风险:
- 运行未经验证或恶意的镜像
- 未能满足内部或监管合规性要求
- 失去对生成容器的组件和工作流的可见性
通过可靠的溯源,您可以获得:
- 信任:知道您的镜像真实且未更改。
- 可追溯性:了解完整的构建过程和源输入。
- 可审计性:提供合规性和构建完整性的可验证证据。
溯源还支持自动化策略执行,并且是 SLSA(软件工件供应链级别)等框架的关键要求。
Docker 硬化镜像如何支持溯源
Docker 硬化镜像 (DHI) 设计内置了溯源功能,可帮助您采用默认安全实践并满足供应链安全标准。
证明
DHI 包含证明——机器可读的元数据,描述了镜像的构建方式、时间和地点。这些证明是使用 in-toto 等行业标准生成的,并与 SLSA 溯源保持一致。
证明让您可以:
- 验证构建是否遵循了预期步骤
- 确认输入和环境符合策略
- 跨系统和阶段追踪构建过程
代码签名
每个 Docker 硬化镜像都经过加密签名,并与摘要一起存储在注册表中。这些签名是可验证的真实性证明,并与 `cosign`、Docker Scout 和 Kubernetes 准入控制器等工具兼容。
通过镜像签名,您可以:
- 确认镜像由 Docker 发布
- 检测镜像是否已被修改或重新发布
- 在 CI/CD 或生产部署中强制执行签名验证