青藤云安全：蜂巢之声之28项容器镜像的检查清单（Checklist）

在“分发”部分，我们讨论了选择镜像仓库的标准以及某些镜像仓库支持的一些其他安全功能。尽管确保镜像配置正确，且使用了安全的镜像仓库很重要，但是如果不在客户端强制执行这些保护措施，安全依然无法得到保障。

Kubernetes本身并不提供安全镜像的拉取服务。这就需要部署一个Kubernetes访问控制器，验证Pod使用的是受信任的镜像仓库。为了支持签名镜像，控制器需要能够验证镜像的签名。

后期维护

镜像的漏洞管理

在容器的全生命周期内，镜像扫描是至关重要的，这时就需要权衡组织机构的风险承受能力和交付速度。组织机构需要制定对应策略和流程来处理镜像安全和漏洞管理。

根据以下指标来确定漏洞管理标准：

漏洞严重性

漏洞数量

这些漏洞是否具有可用的补丁或修补程序

漏洞是否影响配置错误的镜像的部署

基于漏洞严重性、漏洞数量、是否具有补丁等标准，首先，可以帮助用户决定是否允许存在问题（不严重）镜像进行部署上线。其次，发现新的漏洞后，是否要阻止使用现有镜像进行部署，最后，确定对于已经部署了有问题镜像的容器，该如何处理。

写在最后

持续进行镜像扫描是检查镜像中是否存在已知漏洞的一个重要手段，对于确保镜像安全有很大的作用。上文不仅介绍了在容器全生命周期内要对镜像进行持续扫描，还介绍了一些重要措施，可大大增强镜像安全。

（编辑：应用网_阳江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!