2.2. 镜像内容要求

容器镜像必须声明非 root 用户，除非其功能需要特权访问权限。

要认证需要 root 访问权限的容器镜像，您必须：

测试名称：Run AsNonRoot

确保容器不以 root 用户身份运行，除非需要。以 root 用户身份运行的镜像可能会带来安全风险。

容器镜像必须使用红帽提供的 通用基础镜像(UBI)。

UBI 基础镜像的版本必须在 RHEL 版本进行认证上被支持。如需更多信息，请参阅 Red Hat Enterpise Linux Container Compatibility Matrix。

除了内核软件包外，您可以在 UBI 镜像中添加额外的 RHEL 软件包。

测试名称： BasedOnUbi

确保应用程序运行时依赖项（如操作系统组件和库）包含在客户的订阅下。

容器镜像不能更改红帽软件包或层提供的内容，但您或客户都可以更改的文件，如配置文件。

测试名称： HasModifiedFiles

确保红帽不会根据红帽组件未经授权更改拒绝支持。

容器镜像必须具有 /licenses 目录。使用此目录添加包含您产品的软件条款和条件的一个或多个文件，以及镜像中包含的任何开源软件。如果您已在镜像中有许可证文件以满足其他产品要求，您可以在 /licenses 目录中具有指向这些文件或其直接副本的符号链接。

测试名称： HasLicense

确保客户了解适用于镜像中包含的软件的条款和条件。

未压缩的容器镜像必须小于 40 个层。

测试名称： LayerCountAcceptable

确保镜像在容器上正确运行。过多的层可能会降低性能。

容器镜像不得包含 RHEL 内核软件包。

测试名称： HasNoProhibitedPackages

确保符合 RHEL 为合作伙伴发布规则。

容器镜像不得包含带有确定 重要或关键漏洞的红帽 组件。

测试名称： N/A.红帽认证服务进行此扫描。

确保客户不会暴露于已知的漏洞。

容器镜像名称不得以任何红帽商标开头。

测试名称： HasProhibitedContainerName

确保遵守 红帽商标准则。