什麼是強化映象?為什麼要使用它們?
在當今多樣化的軟體環境中,容器映象通常被設計為具有靈活性和廣泛相容性。雖然這使它們非常適合許多用例,但也可能導致映象包含位元定工作負載所需的更多元件。Docker 強化映象採用“最小化設計”的方法,有助於減小映象大小,限制攻擊面,並簡化安全和合規性工作流程。
強化映象透過最小化容器映象中的內容來解決這個問題。更少的軟體意味著更少的漏洞、更快的部署,以及每週需要追蹤的紅色儀表板更少。
對於平臺工程師和安全團隊來說,強化映象提供了一種擺脫 CVE 分類週期的途徑,讓您能夠專注於提供安全合規的基礎設施,而無需持續救火。
什麼是強化映象?
強化映象是一種經過刻意最小化和安全加固的容器映象,旨在減少漏洞並滿足嚴格的安全和合規要求。與可能包含增加風險的非必要元件的標準映象不同,強化映象經過精簡,只包含執行應用程式所需的必要元件。
強化映象的優勢
- 減少攻擊面:透過移除非必要的元件,強化映象限制了攻擊者的潛在入口點。
- 提高安全態勢:定期更新和漏洞掃描有助於確保強化映象長期保持安全。
- 促進合規性:包含SBOM等簽名元資料有助於滿足監管和組織合規標準。
- 運營效率:更小的映象大小意味著更快的拉取、更低執行時開銷和更少的雲資源成本。
什麼是 Docker 強化映象?
Docker 強化映象 (DHI) 透過將最小化、安全設計與企業級支援和工具相結合,進一步提升了強化映象的價值。這些映象以安全為核心構建,持續維護、測試和驗證,以滿足當今最嚴苛的軟體供應鏈和合規性標準。
Docker 強化映象預設安全、設計極簡,並由我們維護,讓您省心無憂。
Docker 強化映象與通用強化映象有何不同?
SLSA 合規構建:Docker 強化映象符合 SLSA 構建級別 3,確保構建過程防篡改、可驗證和可審計,從而防範供應鏈威脅。
無發行版方法:與捆綁完整作業系統的傳統基礎映象(包含 shell、包管理器和除錯工具)不同,無發行版映象僅保留執行應用程式所需的最小作業系統元件。透過排除不必要的工具和庫,它們將攻擊面減少高達 95%,並可以提高效能和映象大小。
持續維護:所有 DHI 都會持續監控和更新,以保持近乎零的已知可利用 CVE,幫助您的團隊避免補丁疲勞和意外警報。
合規就緒:每個映象都包含經過加密簽名的元資料
相容性至上設計:Docker 強化映象提供最小執行時環境,同時保持與常見 Linux 發行版的相容性。它們移除了 shell 和包管理器等非必要元件以增強安全性,但保留了基於熟悉發行版標準的輕量級基礎層。映象通常提供 musl libc(基於 Alpine)和 glibc(基於 Debian)版本,支援廣泛的應用程式相容性需求。
為什麼要使用 Docker 強化映象?
Docker 強化映象 (DHI) 預設安全,設計極簡,並由我們維護,讓您省心無憂。它們提供
- 為安心而構建的映象:超迷你且無發行版,DHI 消除了傳統容器攻擊面的高達 95%。
- 告別補丁恐慌:憑藉持續的 CVE 掃描和 SLA 支援的補救措施,Docker 幫助您領先於威脅。
- 可審計映象:所有 DHI 都包含簽名 SBOM、VEX 和出處,支援安全和合規性工作流程。
- 與您的技術棧無縫銜接的映象:提供 Alpine 和 Debian 版本,DHI 可輕鬆整合到您現有的 Dockerfile 和管道中。
- 由企業支援提供支援的映象:享受 Docker 的支援和對關鍵漏洞的快速響應,讓您高枕無憂。