描述
确保容器镜像是从头开始编写的,或者是基于通过安全仓库下载的另一个已建立且可信的基本镜像
隐患分析
官方存储库是由Docker社区或供应商优化的Docker镜像。
可能还存在其他不安全的公共存储库。 在从Docker和第三方获取容器镜像时,需谨慎使用。
审计方式
1.检查
Docker主机以查看执行以下命令使用的Docker镜像:
$ docker images
这将列出当前可用于Docker主机的所有容器镜像。
访谈系统管理员并获取证据,证明镜像列表是通过安全的镜像仓库获到的,也可简单的从镜像的TAG名称来判断是否为可信镜像。
2.检查镜像信息
对于在Docker主机上找到的每个Docker镜像,检查镜像的构建方式,以验证是否来自可信来源:
$ docker history <imageName>
修复建议
- 中间件等应用使用官方镜像
- 构建镜像时选用
alpine、CentOS等官方镜像
从源头杜绝不安全镜像
参考文档
- Docker容器最佳安全实践白皮书(V1.0)
- Docker官方文档
网友评论