強化、安全的映像
目錄
Docker 強固映像檔 (DHI) 旨在為容器化應用程式提供穩固的安全基礎,以應對不斷演變的軟體供應鏈安全挑戰。
近乎零漏洞與非 root 執行
每個 DHI 均經過精心建構,透過持續掃描與更新來消除已知漏洞,實現接近零的通用漏洞揭露 (CVE)。遵循最小權限原則,DHI 映像檔預設以非 root 使用者身分執行,從而降低生產環境中權限提升攻擊的風險。
全面的供應鏈安全性
DHI 整合了多層安全中繼資料,以確保透明度與信任:
SLSA Level 3 合規:每個映像檔均包含詳細的建構溯源,符合軟體工件供應鏈等級 (SLSA) 架構所設定的標準。
軟體物料清單 (SBOM):提供全面的 SBOM,詳細列出映像檔內的所有元件,以利於漏洞管理與合規稽核。
漏洞可利用性交換 (VEX) 聲明:每個映像檔皆附有 VEX 文件,提供關於已知漏洞及其可利用狀態的背景資訊。
加密簽署與證明:所有映像檔及相關中繼資料均經過加密簽署,確保其完整性與真實性。
極簡且開發人員友善的選項
DHI 提供極簡與開發人員友善兩種映像檔變體:
極簡映像檔:採用 distroless (無發行版) 方法建構,移除了不必要的元件,可減少高達 95% 的攻擊面並縮短啟動時間。
開發映像檔:配備了必要的開發工具與函式庫,這些映像檔有助於進行安全的應用程式建構與測試。