文件名称:镜像仓库应对措施-无人驾驶车辆智能行为及其测试与评价
文件大小:932KB
文件格式:PDF
更新时间:2024-07-21 11:02:44
容器安全标准 SP.800-190 SP.800-190中文
4.2镜像仓库应对措施 4.2.1与镜像仓库的连接不安全 组织机构应将其开发工具、编排工具和容器运行时配置为只通过加密信道连接到仓 库系统。不同工具具体的步骤不同,但关键目标是确保,只通过可信端点向镜像仓库中 推送并从中获取的所有数据,并在传输过程中使用加密技术。 4.2.2镜像仓库中的镜像过时 通过两种主要方法可以降低使用过时镜像的风险。首先,组织机构可以删除镜像仓 库中不应再使用的不安全、易受攻击的镜像。该过程可以基于时间触发器以及与镜像相 关的标签自动进行。 其次,运行实践应强调使用不可变名称来访问镜像,这些名称指定了要使用镜像的 版本。例如,配置部署工作时使用特定版本的镜像,例如,“my-app:2.3”和"my-app: 2.4”,而不是使用名称为“my-app”的镜像,以确保在每个作业中部署镜像特定的、已知的 完好实例。 另一个选项是对镜像上使用“最新”标记,并在自动化部署时引用该标记。然而,因 为这个标签只是附加到镜像的一个标签,并非对最新版本的保证,因此,组织机构应该 谨慎使用,不应过分信任。不管组织机构是采用具体定义名称还是“最新”标记,关键是 6 欲了解 NIST认可的加密实现的更多信息,请参见加密模块验证项目(CMVP)网页:https:/csrc.nist.gov/projects/cryptographic-module- validation-program。