容器安全之使用可信的基础镜像

描述

确保容器镜像是从头开始编写的，或者是基于通过安全仓库下载的另一个已建立且可信的基本镜像

隐患分析

官方存储库是由Docker社区或供应商优化的Docker镜像。
可能还存在其他不安全的公共存储库。 在从Docker和第三方获取容器镜像时，需谨慎使用。

审计方式

1.检查Docker主机以查看执行以下命令使用的Docker镜像：

$ docker images

这将列出当前可用于Docker主机的所有容器镜像。
访谈系统管理员并获取证据，证明镜像列表是通过安全的镜像仓库获到的，也可简单的从镜像的TAG名称来判断是否为可信镜像。

2.检查镜像信息

对于在Docker主机上找到的每个Docker镜像，检查镜像的构建方式，以验证是否来自可信来源：

$ docker history  <imageName>

修复建议

• 中间件等应用使用官方镜像
• 构建镜像时选用alpine、CentOS等官方镜像

从源头杜绝不安全镜像

参考文档

• Docker容器最佳安全实践白皮书（V1.0）
• Docker官方文档