2.2. イメージコンテンツの要件

コンテナーイメージは、その機能が特権アクセスを必要としない限り、非 root ユーザーを宣言する必要があります。

root アクセスを必要とするコンテナーイメージを認定するには、以下を行う必要があります。

テスト名: RunAsNonRoot

必要な場合を除き、コンテナーを root ユーザーとして実行しないようにするためです。root ユーザーとしてイメージを実行すると、セキュリティー上のリスクが生じる可能性があります。

コンテナーイメージは、Red Hat が提供する Universal Base Image (UBI) を使用する必要があります。

UBI ベースイメージのバージョンが、認定対象の RHEL バージョンでサポートされている必要があります。詳細は、Red Hat Enterprise Linux Container 互換性に関する表 を参照してください。

カーネルパッケージを除き、追加の RHEL パッケージを UBI イメージに追加できます。

テスト名: BasedOnUbi

オペレーティングシステムのコンポーネントやライブラリーなどのアプリケーションランタイムの依存関係が、お客様のサブスクリプションの対象となるようにするためです。

コンテナーイメージは、設定ファイルなど、パートナーまたはお客様の両方が変更できるファイルを除き、Red Hat パッケージまたはレイヤーによって提供されるコンテンツを変更してはなりません。

テスト名: HasModifiedFiles

Red Hat コンポーネントへの無許可の変更を理由に、Red Hat がサポートを拒否することがなくなります。

コンテナーイメージには /licenses ディレクトリーが必要です。このディレクトリーを使用して、製品およびイメージに含まれるオープンソースソフトウェアのソフトウェア利用規約を含む 1 つ以上のファイルを追加します。他の製品要件を満たすためにイメージの他の場所にライセンスファイルがすでにある場合は、これらのファイルへのシンボリックリンクまたはそれらの直接コピーを /licenses ディレクトリーに指定できます。

テスト名: HasLicense

イメージに含まれるソフトウェアに適用される利用規約をお客様に認識していただくためです。

圧縮されていないコンテナーイメージのレイヤー数が 40 未満である必要があります。

テスト名: LayerCountAcceptable

イメージをコンテナーで適切に実行するためです。レイヤーが多すぎると、パフォーマンスが低下する可能性があります。

コンテナーイメージに RHEL カーネルパッケージを含めることはできません。

テスト名: HasNoProhibitedPackages

パートナーの RHEL 再配布ルールへの準拠を徹底するためです。

コンテナーイメージに 重要または重大な脆弱性 が特定された Red Hat コンポーネントを含めることはできません。

テスト名: 該当なし。Red Hat Certification Service がこのスキャンを実行します。

お客様が既知の脆弱性にさらされなくなります。

コンテナーイメージ名は、Red Hat のマークで始めることはできません。

テスト名: HasProhibitedContainerName

Red Hat トレードマークガイドライン に準拠するようにします。