2장. 컨테이너 이미지에 대한 요구 사항

기능에 권한 있는 액세스 권한이 필요하지 않은 경우 컨테이너 이미지는 루트가 아닌 사용자를 선언해야 합니다.

root 액세스 권한이 필요한 컨테이너 이미지를 인증하려면 다음을 수행해야 합니다.

테스트 이름: RunAsNonRoot

필요한 경우가 아니면 컨테이너가 root 사용자로 실행되지 않는지 확인합니다. root 사용자로 실행되는 이미지는 보안 위험을 초래할 수 있습니다.

컨테이너 이미지는 Red Hat에서 제공하는 UBI(Universal Base Image) 를 사용해야 합니다.

커널 패키지를 제외한 UBI 이미지에 RHEL 패키지를 추가할 수 있습니다.

테스트 이름: BasedOnUbi

운영 체제 구성 요소 및 라이브러리와 같은 애플리케이션 런타임 종속성이 고객의 서브스크립션에 적용되도록 합니다.

컨테이너 이미지는 사용자 또는 고객이 변경할 수 있는 파일(예: 구성 파일)을 제외하고 Red Hat 패키지 또는 계층에서 제공하는 콘텐츠를 변경하지 않아야 합니다.

테스트 이름: Has CryostatFiles

Red Hat이 Red Hat 구성 요소에 대한 무단 변경 사항에 따라 지원을 거부하지 않도록 합니다.

컨테이너 이미지에는 "licenses" 디렉터리가 포함되어야 합니다. 이 디렉터리를 사용하여 제품에 대한 소프트웨어 용어 및 조건이 포함된 파일 및 이미지에 포함된 오픈 소스 소프트웨어를 추가합니다.

테스트 이름: HasLicense

고객이 이미지에 포함된 소프트웨어에 적용되는 약관을 알고 있는지 확인합니다.

압축 해제된 컨테이너 이미지에는 40개 미만의 계층이 있어야 합니다.

테스트 이름: LayerCountAcceptable

컨테이너에서 이미지가 적절하게 실행되도록 합니다. 너무 많은 레이어가 성능을 저하시킬 수 있습니다.

컨테이너 이미지에는 RHEL 커널 패키지를 포함하지 않아야 합니다.

테스트 이름: HasNoProhibitedPackages

파트너에 대한 RHEL 재배포 규칙 준수를 보장합니다.

컨테이너 이미지에는 확인된 중요 또는 중요한 취약점 이 있는 Red Hat 구성 요소를 포함하지 않아야 합니다.

테스트 이름: N/A. Red Hat 인증 서비스는 이 검사를 수행합니다.

고객이 알려진 취약점에 노출되지 않도록 합니다.