如何强化 Docker 镜像以获得最大安全性

影响 Docker 安全状况的因素有很多，但使用强化镜像是保护自己的最佳步骤之一。并非所有图像都具有相同的安全特征，配置不当的图像可能会给攻击者提供所需的立足点。

什么是图像硬化？

“强化”图像是指分析其当前的安全状态，然后进行改进以解决任何问题。选择一个预先构建的基础镜像ubuntu:latest可能看起来很简单，但按原样使用它可能会让您面临潜在的威胁。这有点像从 Ubuntu 安装映像配置一个新的裸机服务器，然后从不更新它。

与安装映像一样，Docker Hub 上的映像也可能带有过时的软件包。图像也可能被错误配置为不安全的默认设置，从而使您的工作负载面临风险。

通过强化图像，您可以确信它适合您的环境。典型的强化过程将通过更新包和积极寻找已知漏洞来解决可能的弱点。它会创建一个新的基础映像，您可以在管道中安全地使用它。

扫描您的图像

第一步是分析您选择的基本图像。在您运行安全扫描之前，您无法知道您的图像是否可以安全使用。

有多种工具能够扫描 Docker 镜像中的漏洞。他们通常会运行类似的评估，通常基于已知 CVE 的列表，从而生成您可以审核和修复的问题列表。