我正在尝试将docker图像推送到公共回购中的docker hub。如何让最终用户保持安全,例如维护图像的完整性等。在公共docker hub存储库中推送图像时,最好的安全措施是什么?
方案一:
您可以查看Creating an Official Image部分,其中说:
从较高的层面来看,官方图像以一组GitHub拉取请求的形式开始作为提议。以下GitHub存储库中记录了详细和客观的提议要求:
官方形象团队在社区贡献者的帮助下,正式审核每个提案并向作者提供反馈。在提案被接受之前,此初始审核流程可能需要一些来回。
审查过程中也有主观考虑因素。这些主观问题归结为一个基本问题:“这个图像通常有用吗?”例如,python官方图像对于较大的Python开发人员社区来说“通常很有用”,而上周用Python编写的一个模糊的文本冒险游戏不是。
一旦新提案被接受,作者有责任使他们的图像保持最新并响应用户反馈。官方存储库团队负责在Docker Hub上发布图像和文档。官方图像的更新遵循相同的拉取请求流程,但审查较少。官方形象团队最终充当所有变更的守门人,这有助于降低质量和安全问题的风险。
方案二:
如果您使用私有存储库,这是一项付费服务
使用Docker Security Scanning作为您的公共图像。从他们的文档:
Docker Cloud和Docker Hub可以扫描私有存储库中的映像,以验证它们是否没有已知的安全漏洞或暴露,并报告每个映像标记的扫描结果。
关于公共Docker图像本身的安全性:
Docker镜像不会通过安全审核或测试过程。所以它首选使用official images作为非官方图像可能是易受攻击或包含恶意二进制文件,根据一年前发表的一篇文章,谈论约17个恶意图像属于一个用户,这些图像列在Docker Hub门户网站上客场,他们在2017年5月到2018年5月期间保持活跃,当时Docker团队最终干预了他们。如果您打算使用非官方图片。您可以自担风险使用它。
您可能想要检查的链接: