2.2. 镜像内容要求
要求 | 原因 |
---|---|
容器镜像必须声明一个非 root 用户,除非其功能需要特权访问权限。 要认证需要 root 访问权限的容器镜像,您必须:
测试名称: RunAsNonRoot | 确保容器不会以 root 用户身份运行,除非需要。以 root 用户身份运行的镜像可能会造成安全风险。 |
容器镜像必须使用红帽提供的 通用基础镜像(UBI)。 UBI 基础镜像的版本必须在 RHEL 版本上被支持。如需更多信息,请参阅 Red Hat Enterpise Linux Container Compatibility Matrix。 您可以在 UBI 镜像中添加额外的 RHEL 软件包,但内核软件包除外。 测试名称: BasedOnUbi | 确保客户订阅涵盖应用程序运行时依赖项,如操作系统组件和库。 |
除您或客户可能更改的文件(如配置文件)之外,容器镜像不得更改红帽软件包或层提供的内容。 test name: HasModifiedFiles | 确保红帽不会因为未经授权更改红帽组件而拒绝支持。 |
容器镜像必须包含"许可证"目录。使用此目录添加包含您产品的软件条款和条件的文件,以及镜像中包含的任何开源软件。 测试名称: HasLicense | 确保客户了解适用于镜像中包含的软件的条款和条件。 |
不压缩的容器镜像必须小于 40 层。 测试名称: LayerCountAcceptable | 确保镜像在容器中正确运行。太多的层可能会降低性能。 |
容器镜像不得包含 RHEL 内核软件包。 测试名称: HasNoProhibitedPackages | 确保符合 RHEL 为合作伙伴重新发布规则。 |
容器镜像不得包含具有确定 重要或关键漏洞的红帽 组件。 测试名称: N/A.红帽认证服务进行此扫描。 | 确保客户不会暴露于已知的漏洞。 |