热门搜索:

datoma/dockle

datoma

Dockle是一款容器镜像检查工具，帮助构建符合最佳实践的安全Docker镜像，支持CIS基准检查，适用于DevSecOps流程和CI环境，使用简单且可集成到持续集成系统中。

下载次数: 0状态：社区镜像维护者：datoma仓库类型：镜像最近更新：4 年前

让 AI 帮你使用轩辕镜像？ · 展开查看说明

如果你使用 DeepSeek、元宝 AI、Copilot、ChatGPT 等 AI 工具，协助配置轩辕镜像、编写 docker pull 命令、修改 Docker Compose 镜像地址、配置镜像加速、排查镜像拉取失败、分析报错日志等问题，请先让 AI 阅读并遵守轩辕镜像的规则文档。

只需在 AI 对话中先发送下面这句话即可：

请先完整阅读并严格遵守以下文档中的全部规则与要求：

https://xuanyuan.cloud/agents.md

在未充分阅读并理解该文档前，不要生成任何命令、配置、修改建议、故障排查方案或技术回答。后续所有输出都必须严格以该文档中的规范为最高优先级执行。

查看 agents.md 用法指南与完整示范。国内用户首推元宝 AI、DeepSeek 的深度思考模式，不推荐豆包 AI；Cursor 等编辑器可在对话 @ 该链接，或加入 User Rules。若 AI 无法访问外链，可打开说明文档复制全文粘贴。文档会随站点更新，复制内容可能过期，建议定期检查。

镜像标签列表与下载命令

Dockle - 容器镜像安全检查工具

Dockle 帮助您：

构建符合最佳实践的 Docker 镜像
构建安全的 Docker 镜像
- 检查点包括CIS 基准

bash
$ brew untap goodwithtech/dockle # 若使用 0.1.16 或更早版本
$ brew install goodwithtech/r/dockle
$ dockle [您的镜像名称]

功能特性

检测容器漏洞
帮助构建最佳实践 Dockerfile
使用简单
- 只需指定镜像名称
- 参见快速开始和常见示例
支持 CIS 基准
- 高准确性
DevSecOps 支持
- 适用于 Travis CI、CircleCI、Jenkins 等 CI 环境
- 参见CI 示例

工具对比

特性	https://github.com/goodwithtech/dockle	https://github.com/hadolint/hadolint	https://github.com/docker/docker-bench-security	https://github.com/coreos/clair
目标	镜像	Dockerfile	主机 Docker 守护进程镜像容器运行时	镜像
运行方式	二进制	二进制	Shell 脚本	二进制
依赖	无	无	部分依赖	无
适合 CI	✓	✓	×	×
用途	安全审计 Dockerfile 检查	Dockerfile 检查	安全审计 Dockerfile 检查	漏洞扫描

安装方法

Homebrew（Mac OS X / Linux 和 WSL）

可在 Mac OS X 或 Linux 和 WSL（Windows 子系统）上使用 Homebrew 安装：

bash
$ brew install goodwithtech/r/dockle

RHEL/CentOS

bash
$ VERSION=$(
 curl --silent "https://api.github.com/repos/goodwithtech/dockle/releases/latest" | \
 grep '"tag_name":' | \
 sed -E 's/.*"v([^"]+)".*/\1/' \
) && rpm -ivh https://github.com/goodwithtech/dockle/releases/download/v${VERSION}/dockle_${VERSION}_Linux-64bit.rpm

Debian/Ubuntu

bash
$ VERSION=$(
 curl --silent "https://api.github.com/repos/goodwithtech/dockle/releases/latest" | \
 grep '"tag_name":' | \
 sed -E 's/.*"v([^"]+)".*/\1/' \
) && curl -L -o dockle.deb https://github.com/goodwithtech/dockle/releases/download/v${VERSION}/dockle_${VERSION}_Linux-64bit.deb
$ sudo dpkg -i dockle.deb && rm dockle.deb

Arch Linux

可从 Arch 用户仓库安装 dockle-bin：

bash
pikaur -Sy dockle-bin

或

bash
yay -Sy dockle-bin

Windows

bash
$ VERSION=$(
 curl --silent "https://api.github.com/repos/goodwithtech/dockle/releases/latest" | \
 grep '"tag_name":' | \
 sed -E 's/.*"v([^"]+)".*/\1/' \
) && curl -L -o dockle.zip https://github.com/goodwithtech/dockle/releases/download/v${VERSION}/dockle_${VERSION}_Windows-64bit.zip
$ unzip dockle.zip && rm dockle.zip
$ ./dockle.exe [镜像名称]

二进制文件

可从 https://github.com/goodwithtech/dockle/releases/latest 获取最新版本二进制文件。下载对应操作系统/架构的归档文件，解压后将二进制文件放入 $PATH 目录（类 Unix 系统通常为 /usr/local/bin）。

注意：确保设置执行权限（chmod +x dockle）。

从源码安装

bash
$ GO111MODULE=off go get github.com/goodwithtech/dockle/cmd/dockle
$ cd $GOPATH/src/github.com/goodwithtech/dockle && GO111MODULE=on go build -o $GOPATH/bin/dockle cmd/dockle/main.go

使用 Docker

Docker Hub 上提供 https://hub.docker.com/r/goodwithtech/dockle%EF%BC%8C%E5%8F%AF%E5%9C%A8%E5%AE%89%E8%A3%85%E5%91%BD%E4%BB%A4%E5%89%8D%E8%AF%95%E7%94%A8%EF%BC%9A

bash
$ VERSION=$(
 curl --silent "https://api.github.com/repos/goodwithtech/dockle/releases/latest" | \
 grep '"tag_name":' | \
 sed -E 's/.*"v([^"]+)".*/\1/' \
) && docker run --rm -v /var/run/docker.sock:/var/run/docker.sock \
  goodwithtech/dockle:v${VERSION} [您的镜像名称]

仅当需要扫描主机上的镜像时，才需挂载 docker.sock（-v /var/run/docker.sock:/var/run/docker.sock）。

快速开始

基本使用

只需指定镜像名称（和标签）：

bash
$ dockle [您的镜像名称]

结果示例

FATAL   - CIS-DI-0009: 使用 COPY 而非 ADD 指令
        * 使用 COPY : /bin/sh -c #(nop) ADD file:81c0a803075715d1a6b4f75a29f8a01b21cc170cfc1bff6702317d1be2fe71a3 in /app/credentials.json
FATAL   - CIS-DI-0010: 不要在环境变量/文件中存储凭证
        * 发现可疑文件 : app/credentials.json
FATAL   - DKL-DI-0005: 清理 apt-get 缓存
        * 在 'apt-get install' 后使用 'rm -rf /var/lib/apt/lists' : /bin/sh -c apt-get update && apt-get install -y git
FATAL   - DKL-LI-0001: 避免空密码
        * 发现无密码用户! 用户名 : nopasswd
WARN    - CIS-DI-0001: 为容器创建用户
        * 最后用户不应为 root
INFO    - CIS-DI-0005: 启用 Docker 内容信任
        * 在 docker pull/build 前执行 export DOCKER_CONTENT_TRUST=1
INFO    - CIS-DI-0008: 确认 setuid/setgid 文件安全性
        * setuid 文件: app/suid.txt urw-r--r--
        * setgid 文件: app/gid.txt grw-r--r--
        * setuid 文件: usr/bin/gpasswd urwxr-xr-x
        * setgid 文件: usr/bin/wall grwxr-xr-x
        * setuid 文件: bin/su urwxr-xr-x
        * setuid 文件: bin/umount urwxr-xr-x
        * setuid 文件: bin/mount urwxr-xr-x
        * setgid 文件: usr/bin/ssh-agent grwxr-xr-x
        * setuid 文件: etc/shadow urw-r-----
        * setuid 文件: usr/bin/chsh urwxr-xr-x
        * setuid 文件: usr/bin/chfn urwxr-xr-x
        * setuid 文件: usr/lib/openssh/ssh-keysign urwxr-xr-x
        * setgid 文件: etc/passwd grw-r--r--
        * setgid 文件: sbin/unix_chkpwd grwxr-xr-x
        * setgid 文件: usr/bin/chage grwxr-xr-x
        * setuid 文件: usr/bin/passwd urwxr-xr-x
        * setgid 文件: usr/bin/expiry grwxr-xr-x
        * setuid 文件: usr/bin/newgrp urwxr-xr-x
IGNORE  - CIS-DI-0006: 为容器镜像添加 HEALTHCHECK 指令

Docker 方式

也可通过 Docker 运行 dockle 命令：

bash
$ export DOCKLE_LATEST=$(
 curl --silent "https://api.github.com/repos/goodwithtech/dockle/releases/latest" | \
 grep '"tag_name":' | \
 sed -E 's/.*"v([^"]+)".*/\1/' \
)
$ docker run --rm goodwithtech/dockle:v${DOCKLE_LATEST} [您的镜像名称]

若需扫描主机上的镜像，需挂载 docker.sock：

bash
$ docker run --rm -v /var/run/docker.sock:/var/run/docker.sock ...

检查点摘要

各检查点详情参见 CHECKPOINT.md

代码	描述	级别※
	CIS Docker 镜像检查点
CIS-DI-0001	为容器创建用户	WARN
CIS-DI-0002	使用可信基础镜像	FATAL
CIS-DI-0003	不要安装不必要的包	FATAL
CIS-DI-0004	扫描并重建镜像以包含安全补丁	FATAL
CIS-DI-0005	启用 Docker 内容信任	INFO
CIS-DI-0006	添加 `HEALTHCHECK` 指令	WARN
CIS-DI-0007	不要单独使用 `update` 指令	FATAL
CIS-DI-0008	确认 `setuid` 和 `setgid` 文件安全性	INFO
CIS-DI-0009	使用 `COPY` 而非 `ADD`	FATAL
CIS-DI-0010	不要在 Dockerfile 中存储密钥	FATAL
CIS-DI-0011	仅安装已验证的包	INFO
	Dockle Docker 检查点
DKL-DI-0001	避免使用 `sudo` 命令	FATAL
DKL-DI-0002	避免敏感目录挂载	FATAL
DKL-DI-0003	避免 `apt-get upgrade`、`apk upgrade`、`dist-upgrade`	FATAL
DKL-DI-0004	使用 `apk add --no-cache`	FATAL
DKL-DI-0005	清理 `apt-get` 缓存	FATAL
DKL-DI-0006	避免使用 `latest` 标签	WARN
	Dockle Linux 检查点
DKL-LI-0001	避免空密码	FATAL
DKL-LI-0002	UID/GID 唯一性	FATAL
DKL-LI-0003	仅包含必要文件	INFO

级别说明

Dockle 包含 5 种检查级别：

级别	描述
FATAL	实际且需要谨慎处理的问题
WARN	实际且需要谨慎处理，但存在有限使用场景（即使官方镜像）
INFO	可能对实用性或性能产生负面影响
SKIP	未找到目标文件
PASS	未发现任何问题

常见示例

扫描镜像

只需指定镜像名称（和标签）：

bash
$ dockle goodwithtech/test-image:v1

结果示例

FATAL   - CIS-DI-0001: 为容器创建用户
        * 最后用户不应为 root
WARN    - CIS-DI-0005: 启用 Docker 内容信任
        * 在 docker pull/build 前执行 export DOCKER_CONTENT_TRUST=1
FATAL   - CIS-DI-0006: 为容器镜像添加 HEALTHCHECK 指令
        * 未找到 HEALTHCHECK 语句
FATAL   - CIS-DI-0007: 不要单独使用 update 指令
        * 应将 'apt-get update' 与 'apt-get install' 组合使用 : /bin/sh -c apt-get update && apt-get install -y git
FATAL   - CIS-DI-0008: 移除镜像中的 setuid 和 setgid 权限
        * 发现 setuid 文件: etc/passwd grw-r--r--
        * 发现 setuid 文件: usr/lib/openssh/ssh-keysign urwxr-xr-x
        * 发现 setuid 文件: app/hoge.txt ugrw-r--r--
        * 发现 setuid 文件: app/hoge.txt ugrw-r--r--
        * 发现 setuid 文件: etc/shadow urw-r-----
FATAL   - CIS-DI-0009: 使用 COPY 而非 ADD 指令
        * 使用 COPY : /bin/sh -c #(nop) ADD file:81c0a803075715d1a6b4f75a29f8a01b21cc170cfc1bff6702317d1be2fe71a3 in /app/credentials.json
FATAL   - CIS-DI-0010: 不要在环境变量中存储密钥
        * 发现可疑 ENV 键 : MYSQL_PASSWD
FATAL   - CIS-DI-0010: 不要存储密钥文件
        * 发现可疑文件 : app/credentials.json
PASS    - DKL-DI-0001: 避免 sudo 命令
FATAL   - DKL-DI-0002: 避免敏感目录挂载
        * 避免挂载敏感目录 : /usr
PASS    - DKL-DI-0003: 避免 apt-get/apk/dist-upgrade
PASS    - DKL-DI-0004: 使用 apk add --no-cache
FATAL   - DKL-DI-0005: 清理 apt-get 缓存
        * 使用 'apt-get clean && rm -rf /var/lib/apt/lists/*' : /bin/sh -c apt-get update && apt-get install -y git
PASS    - DKL-DI-0006: 避免 latest 标签
FATAL   - DKL-LI-0001: 避免空密码
        * 发现无密码用户! 用户名 : nopasswd
PASS    - DKL-LI-0002: UID 唯一性
PASS    - DKL-LI-0002: GID 唯一性

扫描镜像文件

bash
$ docker save alpine:latest -o alpine.tar
$ dockle --input alpine.tar

获取或保存 JSON 格式结果

bash
$ dockle -f json goodwithtech/test-image:v1
$ dockle -f json -o results.json goodwithtech/test-image:v1

JSON 结果示例

json
{
  "summary": {

镜像拉取方式

您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本，请访问标签列表页面。

轩辕镜像加速拉取命令点我查看更多 dockle 镜像标签

docker pull docker.xuanyuan.run/datoma/dockle:<标签>

使用方法：

DockerHub 原生拉取命令

docker pull datoma/dockle:<标签>

轩辕镜像配置手册

按平台快速找到配置文档

Docker

登录仓库拉取

登录认证 · 私有仓库

专属域名拉取

免登录 · 高速拉取

Linux

Docker 镜像配置

Windows / Mac

Docker Desktop 配置

MacOS OrbStack

OrbStack 容器

Docker Compose

Compose 项目配置

NAS

群晖

Synology 配置

飞牛

fnOS 镜像配置

绿联

绿联 NAS

威联通

QNAP 配置

极空间

极空间 NAS

企业仓库

其他仓库

ghcr · Quay · nvcr

Harbor 镜像源

Proxy Repository 对接

Portainer 镜像源

Registries 配置

Nexus 镜像源

Docker Proxy 缓存

开发工具

Dev Containers

VS Code 开发容器

Podman

Podman 配置指南

Singularity / Apptainer

HPC 科学计算容器

Kubernetes

K8s Containerd

Kubernetes · Containerd

K3s

轻量级集群

面板 / 网络

爱快路由

iKuai 镜像加速

宝塔面板

一键配置镜像源

AI

用 AI 使用轩辕镜像

agents.md · AI 对话 · 提示词

一键安装

一键安装 Docker

Linux Docker 一键安装

需要其他帮助？请查看我们的常见问题 Docker 镜像访问常见问题解答或提交工单

镜像拉取常见问题

功能

免费版与专业版区别

功能对比 · 版本选择

支持的镜像仓库

Docker Hub · GCR · GHCR

新手拉取配置

docker search 限制

专属域名 · Hub 搜索

不支持 push

仅支持 pull · 不支持

拉取速度原因

带宽 · 缓存 · 冷热镜像

错误码

402 与流量用尽

402 · 流量包 · 充值

401 认证失败

401 · docker login

manifest unknown

标签错误 · 镜像不存在

410 Gone 排查

410 · Docker 升级

429 限流

免费版 · 请求频率

其他报错

DNS 超时

DNS 解析 · 网络超时

TLS 证书失败

no matching manifest（架构）

账号

失败是否计费

manifest · blob · 计费

申请开发票（企业 / 个人）

企业 · 个人 · 工单

修改登录密码

网站 · 仓库 · 重置

注销账户

工单 · 数据 · 注销

原理

mirrors 不生效

daemon.json · 重启

去掉域名前缀

docker tag · 重命名

指定架构拉取

ARM64 · AMD64 · 多架构

latest 与「最新」

digest · 版本号 · 标签

查看全部问题→

用户好评

来自真实用户的反馈，见证轩辕镜像的优质服务

oldzhang

运维工程师

Linux服务器

"Docker访问体验非常流畅，大镜像也能快速完成下载。"

热门搜索:

datoma/dockle

datoma

Dockle是一款容器镜像检查工具，帮助构建符合最佳实践的安全Docker镜像，支持CIS基准检查，适用于DevSecOps流程和CI环境，使用简单且可集成到持续集成系统中。

下载次数: 0状态：社区镜像维护者：datoma仓库类型：镜像最近更新：4 年前

让 AI 帮你使用轩辕镜像？ · 展开查看说明

只需在 AI 对话中先发送下面这句话即可：

请先完整阅读并严格遵守以下文档中的全部规则与要求：

https://xuanyuan.cloud/agents.md

在未充分阅读并理解该文档前，不要生成任何命令、配置、修改建议、故障排查方案或技术回答。后续所有输出都必须严格以该文档中的规范为最高优先级执行。

镜像标签列表与下载命令

Dockle - 容器镜像安全检查工具

Dockle 帮助您：

构建符合最佳实践的 Docker 镜像
构建安全的 Docker 镜像
- 检查点包括CIS 基准

bash
$ brew untap goodwithtech/dockle # 若使用 0.1.16 或更早版本
$ brew install goodwithtech/r/dockle
$ dockle [您的镜像名称]

功能特性

检测容器漏洞
帮助构建最佳实践 Dockerfile
使用简单
- 只需指定镜像名称
- 参见快速开始和常见示例
支持 CIS 基准
- 高准确性
DevSecOps 支持
- 适用于 Travis CI、CircleCI、Jenkins 等 CI 环境
- 参见CI 示例

工具对比

特性	https://github.com/goodwithtech/dockle	https://github.com/hadolint/hadolint	https://github.com/docker/docker-bench-security	https://github.com/coreos/clair
目标	镜像	Dockerfile	主机 Docker 守护进程镜像容器运行时	镜像
运行方式	二进制	二进制	Shell 脚本	二进制
依赖	无	无	部分依赖	无
适合 CI	✓	✓	×	×
用途	安全审计 Dockerfile 检查	Dockerfile 检查	安全审计 Dockerfile 检查	漏洞扫描

安装方法

Homebrew（Mac OS X / Linux 和 WSL）

可在 Mac OS X 或 Linux 和 WSL（Windows 子系统）上使用 Homebrew 安装：

bash
$ brew install goodwithtech/r/dockle

RHEL/CentOS

bash
$ VERSION=$(
 curl --silent "https://api.github.com/repos/goodwithtech/dockle/releases/latest" | \
 grep '"tag_name":' | \
 sed -E 's/.*"v([^"]+)".*/\1/' \
) && rpm -ivh https://github.com/goodwithtech/dockle/releases/download/v${VERSION}/dockle_${VERSION}_Linux-64bit.rpm

Debian/Ubuntu

bash
$ VERSION=$(
 curl --silent "https://api.github.com/repos/goodwithtech/dockle/releases/latest" | \
 grep '"tag_name":' | \
 sed -E 's/.*"v([^"]+)".*/\1/' \
) && curl -L -o dockle.deb https://github.com/goodwithtech/dockle/releases/download/v${VERSION}/dockle_${VERSION}_Linux-64bit.deb
$ sudo dpkg -i dockle.deb && rm dockle.deb

Arch Linux

可从 Arch 用户仓库安装 dockle-bin：

bash
pikaur -Sy dockle-bin

或

bash
yay -Sy dockle-bin

Windows

bash
$ VERSION=$(
 curl --silent "https://api.github.com/repos/goodwithtech/dockle/releases/latest" | \
 grep '"tag_name":' | \
 sed -E 's/.*"v([^"]+)".*/\1/' \
) && curl -L -o dockle.zip https://github.com/goodwithtech/dockle/releases/download/v${VERSION}/dockle_${VERSION}_Windows-64bit.zip
$ unzip dockle.zip && rm dockle.zip
$ ./dockle.exe [镜像名称]

二进制文件

注意：确保设置执行权限（chmod +x dockle）。

从源码安装

bash
$ GO111MODULE=off go get github.com/goodwithtech/dockle/cmd/dockle
$ cd $GOPATH/src/github.com/goodwithtech/dockle && GO111MODULE=on go build -o $GOPATH/bin/dockle cmd/dockle/main.go

使用 Docker

Docker Hub 上提供 https://hub.docker.com/r/goodwithtech/dockle%EF%BC%8C%E5%8F%AF%E5%9C%A8%E5%AE%89%E8%A3%85%E5%91%BD%E4%BB%A4%E5%89%8D%E8%AF%95%E7%94%A8%EF%BC%9A

bash
$ VERSION=$(
 curl --silent "https://api.github.com/repos/goodwithtech/dockle/releases/latest" | \
 grep '"tag_name":' | \
 sed -E 's/.*"v([^"]+)".*/\1/' \
) && docker run --rm -v /var/run/docker.sock:/var/run/docker.sock \
  goodwithtech/dockle:v${VERSION} [您的镜像名称]

仅当需要扫描主机上的镜像时，才需挂载 docker.sock（-v /var/run/docker.sock:/var/run/docker.sock）。

快速开始

基本使用

只需指定镜像名称（和标签）：

bash
$ dockle [您的镜像名称]

结果示例

FATAL   - CIS-DI-0009: 使用 COPY 而非 ADD 指令
        * 使用 COPY : /bin/sh -c #(nop) ADD file:81c0a803075715d1a6b4f75a29f8a01b21cc170cfc1bff6702317d1be2fe71a3 in /app/credentials.json
FATAL   - CIS-DI-0010: 不要在环境变量/文件中存储凭证
        * 发现可疑文件 : app/credentials.json
FATAL   - DKL-DI-0005: 清理 apt-get 缓存
        * 在 'apt-get install' 后使用 'rm -rf /var/lib/apt/lists' : /bin/sh -c apt-get update && apt-get install -y git
FATAL   - DKL-LI-0001: 避免空密码
        * 发现无密码用户! 用户名 : nopasswd
WARN    - CIS-DI-0001: 为容器创建用户
        * 最后用户不应为 root
INFO    - CIS-DI-0005: 启用 Docker 内容信任
        * 在 docker pull/build 前执行 export DOCKER_CONTENT_TRUST=1
INFO    - CIS-DI-0008: 确认 setuid/setgid 文件安全性
        * setuid 文件: app/suid.txt urw-r--r--
        * setgid 文件: app/gid.txt grw-r--r--
        * setuid 文件: usr/bin/gpasswd urwxr-xr-x
        * setgid 文件: usr/bin/wall grwxr-xr-x
        * setuid 文件: bin/su urwxr-xr-x
        * setuid 文件: bin/umount urwxr-xr-x
        * setuid 文件: bin/mount urwxr-xr-x
        * setgid 文件: usr/bin/ssh-agent grwxr-xr-x
        * setuid 文件: etc/shadow urw-r-----
        * setuid 文件: usr/bin/chsh urwxr-xr-x
        * setuid 文件: usr/bin/chfn urwxr-xr-x
        * setuid 文件: usr/lib/openssh/ssh-keysign urwxr-xr-x
        * setgid 文件: etc/passwd grw-r--r--
        * setgid 文件: sbin/unix_chkpwd grwxr-xr-x
        * setgid 文件: usr/bin/chage grwxr-xr-x
        * setuid 文件: usr/bin/passwd urwxr-xr-x
        * setgid 文件: usr/bin/expiry grwxr-xr-x
        * setuid 文件: usr/bin/newgrp urwxr-xr-x
IGNORE  - CIS-DI-0006: 为容器镜像添加 HEALTHCHECK 指令

Docker 方式

也可通过 Docker 运行 dockle 命令：

bash
$ export DOCKLE_LATEST=$(
 curl --silent "https://api.github.com/repos/goodwithtech/dockle/releases/latest" | \
 grep '"tag_name":' | \
 sed -E 's/.*"v([^"]+)".*/\1/' \
)
$ docker run --rm goodwithtech/dockle:v${DOCKLE_LATEST} [您的镜像名称]

若需扫描主机上的镜像，需挂载 docker.sock：

bash
$ docker run --rm -v /var/run/docker.sock:/var/run/docker.sock ...

检查点摘要

各检查点详情参见 CHECKPOINT.md

代码	描述	级别※
	CIS Docker 镜像检查点
CIS-DI-0001	为容器创建用户	WARN
CIS-DI-0002	使用可信基础镜像	FATAL
CIS-DI-0003	不要安装不必要的包	FATAL
CIS-DI-0004	扫描并重建镜像以包含安全补丁	FATAL
CIS-DI-0005	启用 Docker 内容信任	INFO
CIS-DI-0006	添加 `HEALTHCHECK` 指令	WARN
CIS-DI-0007	不要单独使用 `update` 指令	FATAL
CIS-DI-0008	确认 `setuid` 和 `setgid` 文件安全性	INFO
CIS-DI-0009	使用 `COPY` 而非 `ADD`	FATAL
CIS-DI-0010	不要在 Dockerfile 中存储密钥	FATAL
CIS-DI-0011	仅安装已验证的包	INFO
	Dockle Docker 检查点
DKL-DI-0001	避免使用 `sudo` 命令	FATAL
DKL-DI-0002	避免敏感目录挂载	FATAL
DKL-DI-0003	避免 `apt-get upgrade`、`apk upgrade`、`dist-upgrade`	FATAL
DKL-DI-0004	使用 `apk add --no-cache`	FATAL
DKL-DI-0005	清理 `apt-get` 缓存	FATAL
DKL-DI-0006	避免使用 `latest` 标签	WARN
	Dockle Linux 检查点
DKL-LI-0001	避免空密码	FATAL
DKL-LI-0002	UID/GID 唯一性	FATAL
DKL-LI-0003	仅包含必要文件	INFO

级别说明

Dockle 包含 5 种检查级别：

级别	描述
FATAL	实际且需要谨慎处理的问题
WARN	实际且需要谨慎处理，但存在有限使用场景（即使官方镜像）
INFO	可能对实用性或性能产生负面影响
SKIP	未找到目标文件
PASS	未发现任何问题

常见示例

扫描镜像

只需指定镜像名称（和标签）：

bash
$ dockle goodwithtech/test-image:v1

结果示例

FATAL   - CIS-DI-0001: 为容器创建用户
        * 最后用户不应为 root
WARN    - CIS-DI-0005: 启用 Docker 内容信任
        * 在 docker pull/build 前执行 export DOCKER_CONTENT_TRUST=1
FATAL   - CIS-DI-0006: 为容器镜像添加 HEALTHCHECK 指令
        * 未找到 HEALTHCHECK 语句
FATAL   - CIS-DI-0007: 不要单独使用 update 指令
        * 应将 'apt-get update' 与 'apt-get install' 组合使用 : /bin/sh -c apt-get update && apt-get install -y git
FATAL   - CIS-DI-0008: 移除镜像中的 setuid 和 setgid 权限
        * 发现 setuid 文件: etc/passwd grw-r--r--
        * 发现 setuid 文件: usr/lib/openssh/ssh-keysign urwxr-xr-x
        * 发现 setuid 文件: app/hoge.txt ugrw-r--r--
        * 发现 setuid 文件: app/hoge.txt ugrw-r--r--
        * 发现 setuid 文件: etc/shadow urw-r-----
FATAL   - CIS-DI-0009: 使用 COPY 而非 ADD 指令
        * 使用 COPY : /bin/sh -c #(nop) ADD file:81c0a803075715d1a6b4f75a29f8a01b21cc170cfc1bff6702317d1be2fe71a3 in /app/credentials.json
FATAL   - CIS-DI-0010: 不要在环境变量中存储密钥
        * 发现可疑 ENV 键 : MYSQL_PASSWD
FATAL   - CIS-DI-0010: 不要存储密钥文件
        * 发现可疑文件 : app/credentials.json
PASS    - DKL-DI-0001: 避免 sudo 命令
FATAL   - DKL-DI-0002: 避免敏感目录挂载
        * 避免挂载敏感目录 : /usr
PASS    - DKL-DI-0003: 避免 apt-get/apk/dist-upgrade
PASS    - DKL-DI-0004: 使用 apk add --no-cache
FATAL   - DKL-DI-0005: 清理 apt-get 缓存
        * 使用 'apt-get clean && rm -rf /var/lib/apt/lists/*' : /bin/sh -c apt-get update && apt-get install -y git
PASS    - DKL-DI-0006: 避免 latest 标签
FATAL   - DKL-LI-0001: 避免空密码
        * 发现无密码用户! 用户名 : nopasswd
PASS    - DKL-LI-0002: UID 唯一性
PASS    - DKL-LI-0002: GID 唯一性

扫描镜像文件

bash
$ docker save alpine:latest -o alpine.tar
$ dockle --input alpine.tar

获取或保存 JSON 格式结果

bash
$ dockle -f json goodwithtech/test-image:v1
$ dockle -f json -o results.json goodwithtech/test-image:v1

JSON 结果示例

json
{
  "summary": {

镜像拉取方式

您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本，请访问标签列表页面。

轩辕镜像加速拉取命令点我查看更多 dockle 镜像标签

docker pull docker.xuanyuan.run/datoma/dockle:<标签>

使用方法：

DockerHub 原生拉取命令

docker pull datoma/dockle:<标签>

轩辕镜像配置手册

按平台快速找到配置文档

Docker

登录仓库拉取

登录认证 · 私有仓库

专属域名拉取

免登录 · 高速拉取

Linux

Docker 镜像配置

Windows / Mac

Docker Desktop 配置

MacOS OrbStack

OrbStack 容器

Docker Compose

Compose 项目配置

NAS

群晖

Synology 配置

飞牛

fnOS 镜像配置

绿联

绿联 NAS

威联通

QNAP 配置

极空间

极空间 NAS

企业仓库

其他仓库

ghcr · Quay · nvcr

Harbor 镜像源

Proxy Repository 对接

Portainer 镜像源

Registries 配置

Nexus 镜像源

Docker Proxy 缓存

开发工具

Dev Containers

VS Code 开发容器

Podman

Podman 配置指南

Singularity / Apptainer

HPC 科学计算容器

Kubernetes

K8s Containerd

Kubernetes · Containerd

K3s

轻量级集群

面板 / 网络

爱快路由

iKuai 镜像加速

宝塔面板

一键配置镜像源

AI

用 AI 使用轩辕镜像

agents.md · AI 对话 · 提示词

一键安装

一键安装 Docker

Linux Docker 一键安装

需要其他帮助？请查看我们的常见问题 Docker 镜像访问常见问题解答或提交工单

镜像拉取常见问题

功能

免费版与专业版区别

功能对比 · 版本选择

支持的镜像仓库

Docker Hub · GCR · GHCR

新手拉取配置

docker search 限制

专属域名 · Hub 搜索

不支持 push

仅支持 pull · 不支持

拉取速度原因

带宽 · 缓存 · 冷热镜像

错误码

402 与流量用尽

402 · 流量包 · 充值

401 认证失败

401 · docker login

manifest unknown

标签错误 · 镜像不存在

410 Gone 排查

410 · Docker 升级

429 限流

免费版 · 请求频率

其他报错

DNS 超时

DNS 解析 · 网络超时

TLS 证书失败

no matching manifest（架构）

账号

失败是否计费

manifest · blob · 计费

申请开发票（企业 / 个人）

企业 · 个人 · 工单

修改登录密码

网站 · 仓库 · 重置

注销账户

工单 · 数据 · 注销

原理

mirrors 不生效

daemon.json · 重启

去掉域名前缀

docker tag · 重命名

指定架构拉取

ARM64 · AMD64 · 多架构

latest 与「最新」

digest · 版本号 · 标签

查看全部问题→

用户好评

来自真实用户的反馈，见证轩辕镜像的优质服务

oldzhang

运维工程师

Linux服务器

"Docker访问体验非常流畅，大镜像也能快速完成下载。"

datoma/dockle

Dockle是一款容器镜像检查工具，帮助构建符合最佳实践的安全Docker镜像，支持CIS基准检查，适用于DevSecOps流程和CI环境，使用简单且可集成到持续集成系统中。

Dockle - 容器镜像安全检查工具

功能特性

工具对比

安装方法

Homebrew（Mac OS X / Linux 和 WSL）

RHEL/CentOS

Debian/Ubuntu

Arch Linux

Windows

二进制文件

从源码安装

使用 Docker

快速开始

基本使用

Docker 方式

检查点摘要

级别说明

常见示例

扫描镜像

扫描镜像文件

获取或保存 JSON 格式结果

镜像拉取方式

轩辕镜像加速拉取命令点我查看更多 dockle 镜像标签

DockerHub 原生拉取命令

更多 dockle 镜像推荐

goodwithtech/dockle

dockler/docker-compose

查看更多 dockle 相关镜像

轩辕镜像配置手册

Docker

登录仓库拉取

专属域名拉取

Linux

Windows / Mac

MacOS OrbStack

Docker Compose

NAS

群晖

飞牛

绿联

威联通

极空间

企业仓库

其他仓库

Harbor 镜像源

Portainer 镜像源

Nexus 镜像源

开发工具

Dev Containers

Podman

Singularity / Apptainer

Kubernetes

K8s Containerd

K3s

面板 / 网络

爱快路由

宝塔面板

AI

用 AI 使用轩辕镜像

一键安装

一键安装 Docker

镜像拉取常见问题

功能

免费版与专业版区别

支持的镜像仓库

新手拉取配置

docker search 限制

不支持 push

拉取速度原因

错误码

402 与流量用尽

401 认证失败

manifest unknown

410 Gone 排查

429 限流

其他报错

DNS 超时

TLS 证书失败