加固、安全的镜像
目录
Docker 强化镜像 (DHI) 旨在为容器化应用程序提供强大的安全基础,以应对软件供应链安全不断变化的挑战。
近乎零漏洞和非 root 执行
每个 DHI 都经过精心构建,通过持续扫描和更新消除已知漏洞,实现近乎零的常见漏洞和暴露 (CVE)。通过遵循最小权限原则,DHI 镜像默认以非 root 身份运行,从而降低生产环境中权限提升攻击的风险。
全面的供应链安全
DHI 整合了多层安全元数据,以确保透明度和信任
SLSA 3 级合规性:每个镜像都包含详细的构建来源,符合软件工件供应链级别 (SLSA) 框架设定的标准。
软件物料清单 (SBOM):提供全面的 SBOM,详细说明镜像中的所有组件,以便进行漏洞管理和合规性审计。
漏洞可利用性交换 (VEX) 声明:每个镜像都附带 VEX 文档,提供已知漏洞及其可利用性状态的背景信息。
加密签名和证明:所有镜像和相关元数据都经过加密签名,确保完整性和真实性。
极简且对开发者友好的选项
DHI 提供极简和开发友好的镜像变体
极简镜像:采用无发行版方法构建,这些镜像移除了不必要的组件,将攻击面减少高达 95%,并缩短了启动时间。
开发镜像:配备了必要的开发工具和库,这些镜像有助于安全地构建和测试应用程序。