chainguard/openscap

Chainguard OpenSCAP 镜像文档

镜像概述与主要用途

Chainguard OpenSCAP 镜像是 Chainguard 提供的低至零 CVE（常见漏洞和暴露）安全容器镜像，旨在帮助用户构建、交付和运行安全合规的软件。该镜像集成 OpenSCAP 工具，适用于安全扫描、合规性检查等场景，通过精简设计和严格的安全标准，最大限度降低软件供应链中的安全风险。

核心功能与特性

• 低至零 CVE 漏洞：采用 Chainguard 严格的构建流程，确保镜像包含极少甚至零已知漏洞，显著降低安全风险。
• 精简镜像设计：基于最小化基础镜像构建，减少***面，提升运行时安全性。
• 多源可用：同时发布于 Docker Hub 和 Chainguard Registry，满足不同环境的拉取需求。
• 扩展版本支持：提供包含 FIPS 合规等特殊需求的额外版本，适配严格合规场景。
• 透明安全信息：提供软件物料清单（SBOMs）、安全 advisories 及漏洞信息，支持安全审计与合规追溯。

使用场景与适用范围

• 企业级安全部署：适用于对安全性要求高的企业级应用，如***、政务、***等领域的软件交付。
• 合规性检查：需满足行业安全标准（如 FIPS、PCI-DSS 等）的场景，支持通过 OpenSCAP 工具进行合规性评估。
• 安全扫描集成：可作为 CI/CD 流程中的安全扫描组件，对软件包或容器镜像进行漏洞检测。
• 供应链安全保障：用于构建安全的软件供应链，确保交付的软件符合最小权限原则和安全最佳实践。

使用方法与配置说明

镜像拉取

该镜像可从 Docker Hub 和 Chainguard Registry 拉取，以下为具体命令：

从 Docker Hub 拉取

bash
docker pull chainguard/openscap:latest

从 Chainguard Registry 拉取

bash
docker pull cgr.dev/chainguard/openscap:latest

基础使用示例

拉取镜像后，可通过以下命令运行容器并使用 OpenSCAP 工具（具体命令需根据 OpenSCAP 功能调整）：

bash
docker run --rm chainguard/openscap:latest oscap --version

注：oscap 为 OpenSCAP 工具的核心命令，具体参数及用法可参考 OpenSCAP 官方文档。

配置参数与环境变量

目前官方未提供特定于该镜像的环境变量或配置参数。实际使用中，可通过挂载配置文件、传递命令行参数等方式，结合 OpenSCAP 工具原生功能进行配置。

补充信息

• 额外版本：包含 FIPS 支持等特殊版本，可访问 Chainguard 镜像目录 查看。
• SBOMs 与安全信息：软件物料清单（SBOMs）、安全 advisories 及漏洞详情，可通过 Chainguard 镜像目录页面 获取。
• 支持与帮助：若遇到拉取速率限制或其他问题，可参考 Chainguard 镜像 FAQ 或通过 Chainguard 联系页面 获取支持。

参考文档

• Chainguard OpenSCAP 镜像概述
• OpenSCAP 官方文档