Docker 推出了 Hardened Images 以强化容器安全性

Docker 刚刚推出了Docker Hardened Images（加固镜像），这是一个企业级、安全加固的容器镜像目录，旨在保护软件供应链免受威胁。Docker 表示，通过减轻 DevOps 团队自行保护容器的负担，加固镜像提供了一种更简单的方式来满足企业级安全和合规标准。

加固镜像旨在增加团队对镜像组件未被篡改且不包含恶意代码的信心。此外，开发者通常从基础镜像开始逐步添加包，这往往会扩大攻击面，引入不必要或过时的依赖项。

Docker Hardened Images 在构建时就考虑到了安全性，它不仅仅是“现有容器的精简版本”：

这些镜像不仅仅是瘦身或最小化的产物。Docker Hardened Images 从一开始就大幅减少了暴露的攻击面，缩小了高达 95%。

Docker 解释说，Docker Hardened Images 剥离了不必要的组件，如 shell、包管理器和调试工具，这些在开发中很有用，但在生产中会扩大攻击面。开发者仍然可以选择通过 Docker UI 添加证书、包、脚本和配置文件来自定义这些镜像。

例如，Node 加固镜像与标准 Node 镜像相比，总体包数量减少了 98%。

减少包的数量也降低了遵守“零漏洞”政策所需的努力。根据 Sysdig 在其 2023 年云原生安全和使用报告中的数据，只有 15%的未修补的关键和高严重性漏洞影响运行时使用的包。然而，未使用的易受攻击的包仍然计入总体漏洞统计，导致高达 87%的容器镜像包含关键或高严重性漏洞。正如 Hacker News 用户 koblas 所指出的，与只包含严格必需包的场景相比，这增加了必须修补的镜像数量。

经典的 UNIX 问题是 LPT printer 守护进程存在问题（它有很多很多问题）。但就算你的系统都没有运行 LPT，你仍然必须修补 1000 多个系统，只是为了维护安全政策。

 

与完整的 UNIX 系统和 Docker 不同，Docker 提供了基于 scratch 镜像部署代码的可能性。想象一个系统，它只包含运行生产所必需的部分，你的安全异常报告将降至零。

此外，Docker 承诺在发布更新或为依赖项发布新的 CVE 时重建加固镜像。所有新构建都会获得符合 Docker SLSA 构建级别 3 的新鲜证明，符合 Docker 的 SLSA 构建系统。

我们在 7 天内修补关键和高严重性 CVE——比典型的行业响应时间更快——并提供企业级 SLA，以增加额外的信心。

Docker 声称，对于大多数开发者来说，迁移到加固镜像非常简单，只需更改他们的 Dockerfile 中的 FROM 子句即可。已经使用基于 Debian 或 Alpine 的镜像的开发者会感到很熟悉，因为加固镜像同时支持两者。

Docker 并不是唯一提供加固镜像的提供商。安全解决方案提供商 Chainguard 也提供了超过 1300 个加固镜像的目录。

使用加固的基础镜像只是容器安全性的一部分。你可能还想探索关键的最佳实践，以更全面地加固容器。

原文链接：

Docker Introduces Hardened Images to Strengthen Container Security