chainguard/helm

Chainguard Helm 镜像文档

镜像概述和主要用途

Chainguard Helm 镜像是 Chainguard 提供的低至零 CVE 漏洞容器镜像，旨在帮助用户构建、交付和运行安全的软件。该镜像基于轻量级、安全优化的基础构建，集成了 Helm 工具，适用于在容器环境中安全执行 Helm 相关操作，如 Kubernetes 应用的打包、部署与管理。

核心功能和特性

低至零漏洞风险

• 采用 Chainguard 安全构建流程，镜像包含低至零 CVE（常见漏洞和暴露），大幅降低运行时安全风险。

合规与安全增强

• 提供FIPS 合规版本，满足***、***等对加密标准有严格要求的场景（需通过特定版本标签获取）。
• 内置软件物料清单（SBOMs），支持镜像内容的审计与验证，提升供应链透明度。

多源获取与灵活性

• 可从 Docker Hub 或 Chainguard Registry 拉取，适配不同网络环境和访问需求。
• 提供详细的安全公告和漏洞信息，便于用户跟踪镜像安全状态。

使用场景和适用范围

• 企业级 Kubernetes 部署：需安全管理 Helm Charts 的生产环境。
• 合规敏感场景：对零漏洞、FIPS 合规有强制要求的***、***、政务等领域。
• 供应链安全需求：需通过 SBOM 验证软件组件完整性的开发或运维流程。
• CI/CD 流水线集成：在容器化流水线中安全执行 Helm 命令（如打包、推送、部署）。

详细的使用方法和配置说明

下载镜像

从 Docker Hub 获取

bash
docker pull chainguard/helm:latest

从 Chainguard Registry 获取

若从 Docker Hub 拉取时遇到速率限制，可使用 Chainguard Registry：

bash
docker pull cgr.dev/chainguard/helm:latest

运行镜像示例

基本 Helm 命令执行

运行容器并执行 helm version 验证工具版本：

bash
docker run --rm chainguard/helm:latest version

挂载本地配置文件

如需使用本地 Kubernetes 配置（kubeconfig）执行 Helm 命令，可挂载主机配置目录：

bash
docker run --rm -v $HOME/.kube/config:/root/.kube/config chainguard/helm:latest list --all-namespaces

版本选择

标准版本

默认标签（如 latest）为最新稳定版，适用于大多数场景：

bash
docker pull chainguard/helm:latest  # Docker Hub
# 或
docker pull cgr.dev/chainguard/helm:latest  # Chainguard Registry

FIPS 合规版本

如需 FIPS 合规版本，需指定包含 fips 的标签（具体版本可参考 Chainguard 镜像目录）：

bash
docker pull cgr.dev/chainguard/helm:fips-latest  # 示例标签，实际请以官方目录为准

速率限制与支持

• 速率限制处理：若从 Docker Hub 拉取频繁失败，建议切换至 Chainguard Registry（cgr.dev/chainguard/helm）。
• 获取支持：访问 Chainguard 镜像 FAQ 或 联系页面 获取帮助。

额外资源

• 版本与漏洞信息：访问 Chainguard 镜像目录 获取：
  • 所有可用版本（含 FIPS 版）
  • SBOM 下载链接
  • 安全公告与漏洞详情
• 完整文档：参考 Chainguard 镜像目录概述。

配置参数与环境变量

当前版本暂未提供特定环境变量或配置参数。如需自定义 Helm 行为（如仓库配置、TLS 证书等），建议通过挂载本地 Helm 配置文件（~/.helm）或在容器运行时传入命令行参数实现。详细配置方法可参考 Helm 官方文档。