瞭解 Docker 強化映象的角色和職責

目錄

Docker 強化映象 (DHI) 由 Docker 精心策劃和維護，並使用上游開源元件構建。為了提供安全性、可靠性和合規性，職責由三個組分擔

上游維護者：負責每個映象中包含的開源軟體的開發者和社群。
Docker：強化、簽名和維護容器映象的提供商。
您（客戶）：在您的環境中執行並可選地自定義 DHI 的消費者。

本主題概述了誰負責什麼，以便您可以有效和安全地使用 DHI。

版本釋出

上游：釋出和維護 DHI 中包含的軟體元件的官方版本。這包括版本控制、變更日誌和棄用通知。
Docker：基於上游版本構建、強化和簽署 Docker 強化映象。Docker 根據上游釋出時間表和內部政策維護這些映象。
您：確保您使用受支援的 DHI 和上游專案版本。使用過時或不受支援的元件可能會引入安全風險。

補丁管理

上游：維護和更新每個元件的原始碼，包括修復庫和依賴項中的漏洞。
Docker：重建並重新發布應用了上游補丁的映象。Docker 還監控漏洞並迅速釋出受影響映象的更新。
您：在您的環境中應用 DHI 更新，並修補您在基礎映象之上安裝的任何軟體或依賴項。

測試

上游：定義原始軟體的行為和功能，並負責驗證核心功能。
Docker：驗證 DHI 啟動、執行並與上游預期一致。Docker 還執行安全掃描，並在每個映象中包含測試證明。
您：在 DHI 之上測試您的應用程式，並驗證任何更改或自定義在您的環境中是否按預期執行。

安全與合規

Docker：隨每個映象釋出已簽名的 SBOM、VEX 文件、溯源資料和 CVE 掃描結果，以支援合規性和供應鏈安全。
您：將 DHI 整合到您的安全和合規工作流程中，包括漏洞管理和審計。

摘要

Docker 強化映象為您提供了一個安全的基礎，包含簽名的元資料和上游透明度。您的職責是明智地使用這些映象，及時應用更新，並驗證您的配置和應用程式是否符合您的內部要求。