33. 镜像安全1. 镜像安全概述镜像是容器的基石镜像安全问题直接影响容器运行时安全。镜像安全涵盖基础镜像选择、镜像构建过程、镜像存储和分发等环节。┌─────────────────────────────────────────────────────────────┐ │ 镜像安全生命周期 │ ├─────────────────────────────────────────────────────────────┤ │ │ │ ┌─────────┐ ┌─────────┐ ┌─────────┐ ┌─────────┐ │ │ │ 构建 │───▶│ 存储 │───▶│ 分发 │───▶│ 运行 │ │ │ └─────────┘ └─────────┘ └─────────┘ └─────────┘ │ │ │ │ │ │ │ │ ▼ ▼ ▼ ▼ │ │ ┌─────────┐ ┌─────────┐ ┌─────────┐ ┌─────────┐ │ │ │基础镜像 │ │仓库安全 │ │镜像签名 │ │运行时 │ │ │ │依赖扫描 │ │访问控制 │ │传输加密 │ │扫描 │ │ │ │最小原则 │ │漏洞扫描 │ │安全策略 │ │准入控制 │ │ │ └─────────┘ └─────────┘ └─────────┘ └─────────┘ │ │ │ └─────────────────────────────────────────────────────────────┘2. 基础镜像安全2.1 选择可信基础镜像# ✅ 官方镜像 FROM nginx:1.21-alpine FROM python:3.9-slim FROM node:14-alpine # ✅ 官方镜像 特定版本避免 latest FROM alpine:3.14 FROM ubuntu:20.04 # ❌ 避免使用 FROM unknown-user/nginx:latest FROM nginx:latest # 不固定版本 # 镜像大小对比 # alpine: 5.6MB # slim: 40MB # standard: 100MB2.2 基础镜像维护# 定期检查基础镜像更新# 方案1使用 DependabotGitHub# 方案2使用 Renovate# 方案3手动检查# 查看基础镜像版本dockerinspect alpine:3.14|grep-iversion# 更新基础镜像# 1. 修改 Dockerfile FROM 指令# 2. 重新构建镜像# 3. 测试# 4. 部署3. 镜像构建安全3.1 最小化原则# ✅ 最小化原则 FROM alpine:3.14 # 只安装必要的包 RUN apk add --no-cache --virtual .build-deps \ gcc \ musl-dev \ pip install --no-cache-dir -r requirements.txt \ apk del .build-deps # 删除不必要的文件 RUN rm -rf /var/cache/apk/* /tmp/* /root/.cache # 使用多阶段构建 FROM golang:1.17-alpine AS builder # 编译 FROM alpine:latest COPY --frombuilder /app/bin /app/bin3.2 避免敏感信息泄露# ❌ 不好硬编码密钥 ENV API_KEYsk_live_abc123 RUN echo $API_KEY # ✅ 好使用构建参数 ARG API_KEY RUN --mounttypesecret,idapi_key \ API_KEY$(cat /run/secrets/api_key) \ ... # ✅ 好运行时传入 docker run -e API_KEY${API_KEY} myapp3.3 .dockerignore# .dockerignore .git .github .gitignore .dockerignore .env *.log *.md node_modules npm-debug.log .DS_Store .idea .vscode *.pem *.key *.crt *secret* *password*4. 镜像漏洞扫描4.1 Docker Scan# 扫描本地镜像dockerscan nginx:latest# 扫描并显示漏洞详情dockerscan--severityhigh nginx:latest# 生成 JSON 报告dockerscan--jsonnginx:latestscan-report.json# 扫描 Dockerfiledockerscan--fileDockerfile myapp:latest# 依赖扫描Node.jsdockerscan --dependency-tree nginx:latest4.2 Trivy# 安装 Trivy# macOSbrewinstallaquasecurity/trivy/trivy# Linuxwgethttps://github.com/aquasecurity/trivy/releases/download/v0.30.0/trivy_0.30.0_Linux-64bit.debsudodpkg-itrivy_0.30.0_Linux-64bit.deb# 扫描镜像trivy image nginx:alpine# 只显示严重漏洞trivy image--severityHIGH,CRITICAL myapp:latest# 输出 JSONtrivy image--formatjson-oresults.json myapp:latest# 忽略未修补漏洞trivy image --ignore-unfixed myapp:latest# 扫描文件系统trivy fs --security-checks vuln,secret ./4.3 Clair# 启动 Clair 服务dockerrun-d--nameclair-p6060:6060 quay.io/coreos/clair# 使用 clair-scannerclair-scanner--clairhttp://localhost:6060 myapp:latest5. 镜像签名与信任5.1 Docker Content Trust# 启用 DCTexportDOCKER_CONTENT_TRUST1# 推送签名的镜像dockerpush myuser/myapp:latest# 拉取验证签名dockerpull myuser/myapp:latest# 查看签名信息dockertrust inspect myuser/myapp:latest# 签名日志dockertrust view myuser/myapp:latest5.2 Notary# 安装 Notary# 使用 Notary 私有部署管理签名# 初始化 Notary 仓库notary init myregistry.com/myapp# 添加签名notaryaddmyregistry.com/myapp latest# 验证签名notary verify myregistry.com/myapp latest6. 镜像仓库安全6.1 Harbor 安全配置# Harbor 配置# 启用漏洞扫描# 启用镜像签名# 配置复制规则# 设置清理策略# 项目级配置project:public:falsevulnerability_scanning:truecontent_trust:trueprevention:trueseverity:high6.2 镜像清理策略# Harbor 自动清理规则# 保留最近 10 个标签dry-run:falselabel: - name: retention-policy value: keep-latest-10# 命令行清理dockerimage prune-a--filteruntil24h7. CI/CD 镜像安全集成7.1 GitLab CI 集成# .gitlab-ci.ymlstages:-build-scan-pushvariables:DOCKER_IMAGE:$CI_REGISTRY_IMAGE:$CI_COMMIT_SHAbuild:stage:buildscript:-docker build-t $DOCKER_IMAGE .scan:stage:scanscript:-docker scan $DOCKER_IMAGE-trivy image--severity HIGH,CRITICAL $DOCKER_IMAGEallow_failure:falsepush:stage:pushscript:-docker push $DOCKER_IMAGEonly:-main7.2 GitHub Actions 集成name:Security Scanon:[push]jobs:security:runs-on:ubuntu-lateststeps:-uses:actions/checkoutv2-name:Build imagerun:docker build-t myapp:latest .-name:Scan image with Trivyuses:aquasecurity/trivy-actionmasterwith:image-ref:myapp:latestformat:sarifoutput:trivy-results.sarifseverity:HIGH,CRITICAL-name:Upload scan resultsuses:github/codeql-action/upload-sarifv1with:sarif_file:trivy-results.sarif8. 镜像安全策略8.1 准入控制# Kubernetes 准入控制# Pod Security PolicyapiVersion:policy/v1beta1kind:PodSecurityPolicymetadata:name:restrictedspec:privileged:falseallowPrivilegeEscalation:falserequiredDropCapabilities:-ALLrunAsUser:rule:MustRunAsNonRootseLinux:rule:RunAsAnysupplementalGroups:rule:MustRunAsranges:-min:1max:65535fsGroup:rule:MustRunAsranges:-min:1max:65535readOnlyRootFilesystem:true8.2 镜像白名单# 限制只使用特定镜像仓库dockerrun--pullalways--platformlinux registry.example.com/trusted:latest# 配置镜像策略# /etc/docker/daemon.json{allow-nondistributable-artifacts:[trusted-registry.com],insecure-registries:[]}9. 镜像安全最佳实践9.1 安全检查清单## 镜像安全检查清单 ### 基础镜像 - [ ] 使用官方可信镜像 - [ ] 指定具体版本避免 latest - [ ] 选择最小化镜像alpine/slim ### 构建过程 - [ ] 使用 .dockerignore - [ ] 多阶段构建减少体积 - [ ] 不包含敏感信息 - [ ] 合并 RUN 命令 - [ ] 以非 root 用户运行 ### 漏洞扫描 - [ ] 定期扫描镜像 - [ ] 修复高危漏洞 - [ ] 更新基础镜像 ### 存储分发 - [ ] 使用私有仓库 - [ ] 启用镜像签名 - [ ] 配置访问控制 - [ ] 自动清理旧镜像 ### CI/CD 集成 - [ ] 构建后自动扫描 - [ ] 阻断高危漏洞 - [ ] 签名生产镜像9.2 定期更新策略# 基础镜像更新脚本#!/bin/bashIMAGES(alpine:3.14python:3.9-slimnode:14-alpine)forimgin${IMAGES[]};dodockerpull$imgtrivy image--severityHIGH,CRITICAL$imgdone10. 常用命令速查操作命令扫描镜像docker scanTrivy 扫描trivy image启用签名export DOCKER_CONTENT_TRUST1查看签名docker trust inspect清理镜像docker image prune查看镜像层docker history导出 SBOMdocker sbom11. 常见问题Q1: 如何检查镜像中的软件包版本dockerrun--rmmyapp:latestcat/etc/os-releasedockerrun--rmmyapp:latest dpkg-l# Debiandockerrun--rmmyapp:latestrpm-qa# CentOSdockerrun--rmmyapp:latest apk list# AlpineQ2: 如何减少镜像中的漏洞数量使用更新的基础镜像使用最小化镜像alpine删除不必要的软件包定期重建镜像Q3: 镜像扫描失败怎么办更新基础镜像版本修复漏洞后重新构建。12. 小结基础镜像官方、固定版本、最小化构建安全.dockerignore、多阶段、非 root漏洞扫描docker scan、Trivy、Clair镜像签名DCT、Notary 验证完整性仓库安全Harbor、访问控制、自动扫描CI/CD 集成自动化扫描阻断安全策略准入控制、白名单定期更新基础镜像保持最新安全补丁