メジャー/クリティカルCVEが0のPython、PHP、Node、Javaなどの一般的なプラットフォームに、セキュリティが強化された認定済みのDockerイメージを提供するサービスはありますか?.
現在、RedHatのものを使用していますが、問題は、Dockerの信頼されたレジストリCVEデータベースを介して、RedHat提供のイメージをAレベル(クリーン)でスキャンした場合でも、少なくとも50のクリティカルCVEと50を超える主要CVEがそれら;したがって、ユーザーが追加したCVEをスキャンできるベースラインを確立できず、セキュリティスキャンテストに失敗する可能性があります。
安全なイメージビルドパイプラインを確立するには、この種のサービスが必要です。これにより、ベースイメージのすべてのCVEを修正するか、すべてのCVEが修正されているベースイメージを取得したら、アプリケーションレベルのCVEを見落とさないようにします。定期的に、CVEがアプリケーションによるものであると自動的に明確に判断し、パイプラインでのイメージのプロモーションを停止できます。
Docker Hubで何らかの形式の保証があるイメージは、Dockerによって維持される「公式」イメージのみです。
ただし、メンテナーがリリースしたすべてのCVEのイメージを必ずしも更新するわけではないというアプローチをメンテナーが取っていることを認識することが重要です(詳細 ここ )
CVEスキャナーのクリーンな画像が必要な場合は、次のようなものをお勧めします
そして、このプロセスを必要なだけ定期的に実行して、クリーンなイメージを維持します。
AFAIKの誰も、これを超えて認定された強化画像を作成していません。