当前位置：首页 > article >正文

第七部分-容器安全与监控——33. 镜像安全

article 2026/5/12 14:51:47

33. 镜像安全1. 镜像安全概述镜像是容器的基石镜像安全问题直接影响容器运行时安全。镜像安全涵盖基础镜像选择、镜像构建过程、镜像存储和分发等环节。┌─────────────────────────────────────────────────────────────┐ │ 镜像安全生命周期 │ ├─────────────────────────────────────────────────────────────┤ │ │ │ ┌─────────┐ ┌─────────┐ ┌─────────┐ ┌─────────┐ │ │ │ 构建 │───▶│ 存储 │───▶│ 分发 │───▶│ 运行 │ │ │ └─────────┘ └─────────┘ └─────────┘ └─────────┘ │ │ │ │ │ │ │ │ ▼ ▼ ▼ ▼ │ │ ┌─────────┐ ┌─────────┐ ┌─────────┐ ┌─────────┐ │ │ │基础镜像 │ │仓库安全 │ │镜像签名 │ │运行时 │ │ │ │依赖扫描 │ │访问控制 │ │传输加密 │ │扫描 │ │ │ │最小原则 │ │漏洞扫描 │ │安全策略 │ │准入控制 │ │ │ └─────────┘ └─────────┘ └─────────┘ └─────────┘ │ │ │ └─────────────────────────────────────────────────────────────┘2. 基础镜像安全2.1 选择可信基础镜像# ✅ 官方镜像 FROM nginx:1.21-alpine FROM python:3.9-slim FROM node:14-alpine # ✅ 官方镜像特定版本避免 latest FROM alpine:3.14 FROM ubuntu:20.04 # ❌ 避免使用 FROM unknown-user/nginx:latest FROM nginx:latest # 不固定版本 # 镜像大小对比 # alpine: 5.6MB # slim: 40MB # standard: 100MB2.2 基础镜像维护# 定期检查基础镜像更新# 方案1使用 DependabotGitHub# 方案2使用 Renovate# 方案3手动检查# 查看基础镜像版本dockerinspect alpine:3.14|grep-iversion# 更新基础镜像# 1. 修改 Dockerfile FROM 指令# 2. 重新构建镜像# 3. 测试# 4. 部署3. 镜像构建安全3.1 最小化原则# ✅ 最小化原则 FROM alpine:3.14 # 只安装必要的包 RUN apk add --no-cache --virtual .build-deps \ gcc \ musl-dev \ pip install --no-cache-dir -r requirements.txt \ apk del .build-deps # 删除不必要的文件 RUN rm -rf /var/cache/apk/* /tmp/* /root/.cache # 使用多阶段构建 FROM golang:1.17-alpine AS builder # 编译 FROM alpine:latest COPY --frombuilder /app/bin /app/bin3.2 避免敏感信息泄露# ❌ 不好硬编码密钥 ENV API_KEYsk_live_abc123 RUN echo $API_KEY # ✅ 好使用构建参数 ARG API_KEY RUN --mounttypesecret,idapi_key \ API_KEY$(cat /run/secrets/api_key) \ ... # ✅ 好运行时传入 docker run -e API_KEY${API_KEY} myapp3.3 .dockerignore# .dockerignore .git .github .gitignore .dockerignore .env *.log *.md node_modules npm-debug.log .DS_Store .idea .vscode *.pem *.key *.crt *secret* *password*4. 镜像漏洞扫描4.1 Docker Scan# 扫描本地镜像dockerscan nginx:latest# 扫描并显示漏洞详情dockerscan--severityhigh nginx:latest# 生成 JSON 报告dockerscan--jsonnginx:latestscan-report.json# 扫描 Dockerfiledockerscan--fileDockerfile myapp:latest# 依赖扫描Node.jsdockerscan --dependency-tree nginx:latest4.2 Trivy# 安装 Trivy# macOSbrewinstallaquasecurity/trivy/trivy# Linuxwgethttps://github.com/aquasecurity/trivy/releases/download/v0.30.0/trivy_0.30.0_Linux-64bit.debsudodpkg-itrivy_0.30.0_Linux-64bit.deb# 扫描镜像trivy image nginx:alpine# 只显示严重漏洞trivy image--severityHIGH,CRITICAL myapp:latest# 输出 JSONtrivy image--formatjson-oresults.json myapp:latest# 忽略未修补漏洞trivy image --ignore-unfixed myapp:latest# 扫描文件系统trivy fs --security-checks vuln,secret ./4.3 Clair# 启动 Clair 服务dockerrun-d--nameclair-p6060:6060 quay.io/coreos/clair# 使用 clair-scannerclair-scanner--clairhttp://localhost:6060 myapp:latest5. 镜像签名与信任5.1 Docker Content Trust# 启用 DCTexportDOCKER_CONTENT_TRUST1# 推送签名的镜像dockerpush myuser/myapp:latest# 拉取验证签名dockerpull myuser/myapp:latest# 查看签名信息dockertrust inspect myuser/myapp:latest# 签名日志dockertrust view myuser/myapp:latest5.2 Notary# 安装 Notary# 使用 Notary 私有部署管理签名# 初始化 Notary 仓库notary init myregistry.com/myapp# 添加签名notaryaddmyregistry.com/myapp latest# 验证签名notary verify myregistry.com/myapp latest6. 镜像仓库安全6.1 Harbor 安全配置# Harbor 配置# 启用漏洞扫描# 启用镜像签名# 配置复制规则# 设置清理策略# 项目级配置project:public:falsevulnerability_scanning:truecontent_trust:trueprevention:trueseverity:high6.2 镜像清理策略# Harbor 自动清理规则# 保留最近 10 个标签dry-run:falselabel: - name: retention-policy value: keep-latest-10# 命令行清理dockerimage prune-a--filteruntil24h7. CI/CD 镜像安全集成7.1 GitLab CI 集成# .gitlab-ci.ymlstages:-build-scan-pushvariables:DOCKER_IMAGE:$CI_REGISTRY_IMAGE:$CI_COMMIT_SHAbuild:stage:buildscript:-docker build-t $DOCKER_IMAGE .scan:stage:scanscript:-docker scan $DOCKER_IMAGE-trivy image--severity HIGH,CRITICAL $DOCKER_IMAGEallow_failure:falsepush:stage:pushscript:-docker push $DOCKER_IMAGEonly:-main7.2 GitHub Actions 集成name:Security Scanon:[push]jobs:security:runs-on:ubuntu-lateststeps:-uses:actions/checkoutv2-name:Build imagerun:docker build-t myapp:latest .-name:Scan image with Trivyuses:aquasecurity/trivy-actionmasterwith:image-ref:myapp:latestformat:sarifoutput:trivy-results.sarifseverity:HIGH,CRITICAL-name:Upload scan resultsuses:github/codeql-action/upload-sarifv1with:sarif_file:trivy-results.sarif8. 镜像安全策略8.1 准入控制# Kubernetes 准入控制# Pod Security PolicyapiVersion:policy/v1beta1kind:PodSecurityPolicymetadata:name:restrictedspec:privileged:falseallowPrivilegeEscalation:falserequiredDropCapabilities:-ALLrunAsUser:rule:MustRunAsNonRootseLinux:rule:RunAsAnysupplementalGroups:rule:MustRunAsranges:-min:1max:65535fsGroup:rule:MustRunAsranges:-min:1max:65535readOnlyRootFilesystem:true8.2 镜像白名单# 限制只使用特定镜像仓库dockerrun--pullalways--platformlinux registry.example.com/trusted:latest# 配置镜像策略# /etc/docker/daemon.json{allow-nondistributable-artifacts:[trusted-registry.com],insecure-registries:[]}9. 镜像安全最佳实践9.1 安全检查清单## 镜像安全检查清单 ### 基础镜像 - [ ] 使用官方可信镜像 - [ ] 指定具体版本避免 latest - [ ] 选择最小化镜像alpine/slim ### 构建过程 - [ ] 使用 .dockerignore - [ ] 多阶段构建减少体积 - [ ] 不包含敏感信息 - [ ] 合并 RUN 命令 - [ ] 以非 root 用户运行 ### 漏洞扫描 - [ ] 定期扫描镜像 - [ ] 修复高危漏洞 - [ ] 更新基础镜像 ### 存储分发 - [ ] 使用私有仓库 - [ ] 启用镜像签名 - [ ] 配置访问控制 - [ ] 自动清理旧镜像 ### CI/CD 集成 - [ ] 构建后自动扫描 - [ ] 阻断高危漏洞 - [ ] 签名生产镜像9.2 定期更新策略# 基础镜像更新脚本#!/bin/bashIMAGES(alpine:3.14python:3.9-slimnode:14-alpine)forimgin${IMAGES[]};dodockerpull$imgtrivy image--severityHIGH,CRITICAL$imgdone10. 常用命令速查操作命令扫描镜像docker scanTrivy 扫描trivy image启用签名export DOCKER_CONTENT_TRUST1查看签名docker trust inspect清理镜像docker image prune查看镜像层docker history导出 SBOMdocker sbom11. 常见问题Q1: 如何检查镜像中的软件包版本dockerrun--rmmyapp:latestcat/etc/os-releasedockerrun--rmmyapp:latest dpkg-l# Debiandockerrun--rmmyapp:latestrpm-qa# CentOSdockerrun--rmmyapp:latest apk list# AlpineQ2: 如何减少镜像中的漏洞数量使用更新的基础镜像使用最小化镜像alpine删除不必要的软件包定期重建镜像Q3: 镜像扫描失败怎么办更新基础镜像版本修复漏洞后重新构建。12. 小结基础镜像官方、固定版本、最小化构建安全.dockerignore、多阶段、非 root漏洞扫描docker scan、Trivy、Clair镜像签名DCT、Notary 验证完整性仓库安全Harbor、访问控制、自动扫描CI/CD 集成自动化扫描阻断安全策略准入控制、白名单定期更新基础镜像保持最新安全补丁

第七部分-容器安全与监控——33. 镜像安全

相关文章：

第七部分-容器安全与监控——33. 镜像安全

告别月薪四千，2026网工转网安：学习路线、岗位方向与避坑全指南

Arduino与MAX4080S联手：打造高精度微安级电流监测方案

在Nodejs后端服务中集成Taotoken实现稳定高效的多模型调用

Fast-GitHub：3个技巧让国内开发者告别GitHub龟速时代

如何零成本测试ZPL标签？Virtual ZPL Printer终极解决方案揭秘

PLC编程入门学习路径

京东数据利器：掌握详情与评论资源

自建链接管理服务OtterLink：从部署到实战的完整指南

3分钟掌握跨平台鼠标连点器：免费开源自动化工具快速上手指南

轻量级AI智能体运行时Neko：边缘设备部署与自动化实践

毕设项目分享大数据共享单车数据分析与可视化(源码分享)

不止于Kali：在Ubuntu、Debian上给COMFAST CF-812AC无线网卡装RTL8812BU驱动的通用教程

别再只盯着快充了！聊聊交流充电桩（慢充）对电池寿命的友好设计

在数据爬取项目中集成 Taotoken 大模型 API 进行智能解析

心灵鸡汤01 - 人生九不争

多账号矩阵协作架构设计：中小团队多人权限与素材协同实战方案

Windows APK安装工具终极指南：轻松在电脑上安装Android应用

终极Windows安卓应用安装指南：告别模拟器，拥抱轻量级体验

QProcess::FailedToStart “No program defined“。qtcreator用的好好的，然后就不能调试了

2026年AI编程软件综合推荐主流工具全面排行

3分钟掌握微信聊天记录永久保存：从数据备份到智能分析完全攻略

别再折腾了！STM32CubeMX+Keil 5+Proteus 8.9保姆级联调配置，一次搞定

R语言实战：用DescTools、ggiraphExtra、factoextra等包搞定多变量数据可视化（附完整代码）

OpenClaw vs Hermes Agent，谁是 2026 年 AI Agent 最优解？

5分钟实现电脑风扇智能控制：FanControl.HWInfo终极指南

毕设成品深度学习安全帽佩戴检测(源码+论文)

peaqOS 给机器发了一份穆迪式评级，机器经济缺的最后一块零件被补上了

VINS-Mono在EUROC数据集上的实战评测：从轨迹精度到运行耗时，我的避坑心得

MODCAR：一种高效并发工业通信协议