映象來源
目錄
什麼是映象溯源?
映象溯源指的是追蹤容器映象來源、作者和完整性的元資料。它回答了以下關鍵問題:
- 這個映象從何而來?
- 誰構建了它?
- 它是否被篡改過?
溯源建立了保管鏈,幫助您驗證所使用的映象是否源自受信任且可驗證的構建過程。
為什麼映象溯源很重要
溯源是保護軟體供應鏈的基礎。沒有它,您將面臨以下風險:
- 執行未經驗證或惡意的映象
- 未能滿足內部或監管合規性要求
- 失去對生成容器的元件和工作流的可見性
透過可靠的溯源,您可以獲得:
- 信任:知道您的映象真實且未更改。
- 可追溯性:瞭解完整的構建過程和源輸入。
- 可審計性:提供合規性和構建完整性的可驗證證據。
溯源還支援自動化策略執行,並且是 SLSA(軟體工件供應鏈級別)等框架的關鍵要求。
Docker 硬化映象如何支援溯源
Docker 硬化映象 (DHI) 設計內建了溯源功能,可幫助您採用預設安全實踐並滿足供應鏈安全標準。
證明
DHI 包含證明——機器可讀的元資料,描述了映象的構建方式、時間和地點。這些證明是使用 in-toto 等行業標準生成的,並與 SLSA 溯源保持一致。
證明讓您可以:
- 驗證構建是否遵循了預期步驟
- 確認輸入和環境符合策略
- 跨系統和階段追蹤構建過程
程式碼簽名
每個 Docker 硬化映象都經過加密簽名,並與摘要一起儲存在登錄檔中。這些簽名是可驗證的真實性證明,並與 `cosign`、Docker Scout 和 Kubernetes 准入控制器等工具相容。
透過映象簽名,您可以:
- 確認映象由 Docker 釋出
- 檢測映象是否已被修改或重新發布
- 在 CI/CD 或生產部署中強制執行簽名驗證