docker/buildkit-syft-scanner Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务
docker/buildkit-syft-scanner这是基于Syft扫描器的BuildKit SBOM生成器镜像,用于在Docker构建输出中包含扫描结果,实现了BuildKit SBOM扫描协议。
BuildKit Syft Scanner 镜像文档
1. 镜像概述和主要用途
docker/buildkit-syft-scanner 镜像是将 Syft 扫描器 打包为 BuildKit SBOM 生成器 的工具,用于在 Docker 构建过程中集成软件物料清单(SBOM)扫描结果,并将其作为构建证明(attestation)与输出镜像关联。
该镜像实现了 BuildKit SBOM 扫描协议,可与 BuildKit 构建工具链无缝集成,为镜像构建流程提供自动化的 SBOM 生成能力。
2. 核心功能和特性
- BuildKit 协议兼容:完全实现 BuildKit 定义的 SBOM 扫描协议,确保与 BuildKit 构建系统的兼容性。
- Syft 集成:内置 Syft 扫描器,支持多种包管理器和文件系统的组件识别,生成详细的软件物料清单。
- 构建时 SBOM 生成:在 Docker 镜像构建阶段自动执行扫描,无需额外的后处理步骤。
- SBOM 作为构建证明:生成的 SBOM 以 BuildKit 构建证明(attestation)形式附加到输出镜像,便于后续验证和审计。
3. 使用场景和适用范围
- 软件供应链安全管理:在镜像构建阶段识别并记录所有依赖组件,助力安全漏洞跟踪和管理。
- 合规审计:满足行业合规要求(如 SBOM 提交、组件许可证跟踪等),提供可追溯的构建组件清单。
- 依赖管理:跟踪镜像中的第三方组件及其版本,辅助识别过时或不安全的依赖项。
- Docker + BuildKit 构建流程:适用于使用 BuildKit 作为构建后端的 Docker 环境,需通过
buildctl或支持 BuildKit 高级选项的构建工具调用。
4. 使用方法和配置说明
4.1 前提条件
- 已安装并配置 BuildKit(推荐版本 ≥ v0.10.0)。
- 构建工具支持 BuildKit 的
--opt参数(如buildctl)。
4.2 基本使用命令
在使用 buildctl 构建镜像时,通过 --opt attest:sbom=generator=... 参数指定本扫描器镜像,即可在构建过程中生成 SBOM 证明:
bashbuildctl build ... \ --output type=image,name=<目标镜像名称>,push=true \ --opt attest:sbom=generator=docker/buildkit-syft-scanner
4.3 参数说明
| 参数 | 描述 | 示例值 |
|---|---|---|
attest:sbom=generator | 指定 SBOM 生成器镜像,需设置为 docker/buildkit-syft-scanner | generator=docker/buildkit-syft-scanner |
--output type=image,... | 输出配置,需包含 name=<目标镜像名称> 和 push=true(如需推送镜像) | type=image,name=myapp:latest,push=true |
4.4 示例
构建并推送镜像 myapp:latest,同时生成 SBOM 证明:
bashbuildctl build \ --frontend dockerfile.v0 \ --local context=. \ --local dockerfile=. \ --output type=image,name=myapp:latest,push=true \ --opt attest:sbom=generator=docker/buildkit-syft-scanner
5. 开发指南
5.1 环境准备
克隆项目仓库并进入目录:
bashgit clone [***] cd buildkit-syft-scanner
5.2 本地仓库设置(可选)
推荐启动本地临时 registry,用于推送开发镜像:
bashdocker run -d -p 5000:5000 --rm --name registry registry:2
5.3 构建开发镜像
使用 make dev 命令构建开发镜像并推送到本地 registry(需替换 <本地仓库地址> 为实际 registry 地址):
bashmake dev IMAGE=<本地仓库地址>/buildkit-syft-scanner:dev
示例(推送到本地 registry localhost:5000):
bashmake dev IMAGE=localhost:5000/buildkit-syft-scanner:dev
5.4 测试开发镜像
运行示例构建测试开发镜像功能:
bashmake examples IMAGE=localhost:5000/buildkit-syft-scanner:dev
5.5 使用开发镜像进行构建
通过 buildctl 使用开发镜像生成 SBOM:
bashbuildctl build ... \ --output type=image,name=<目标镜像名称>,push=true \ --opt attest:sbom=generator=<本地仓库地址>/buildkit-syft-scanner:dev
示例:
bashbuildctl build \ --frontend dockerfile.v0 \ --local context=. \ --local dockerfile=. \ --output type=image,name=myapp:dev,push=true \ --opt attest:sbom=generator=localhost:5000/buildkit-syft-scanner:dev
6. 贡献指南
buildkit-syft-scanner 主要作为 BuildKit 与 Syft 之间的适配层,旨在保持代码精简。贡献通常更适合提交至上游项目(BuildKit 或 Syft)。若需为本项目贡献,请优先关注协议兼容性修复或文档改进。
vdaas/vald-buildkit-syft-scanner
vdaas
暂无描述
10万+ 次下载
26 天前更新
paketobuildpacks/syft
paketobuildpacks
暂无描述
50万+ 次下载
28 天前更新
moby/buildkit
moby
这是一款适用于容器镜像构建的并发、缓存高效且与Dockerfile无关的构建工具包,它通过并发处理能力显著提升构建速度,借助高效缓存机制大幅减少重复计算与资源消耗,同时摆脱对Dockerfile的依赖限制,支持多样化的构建配置与场景需求,为开发者提供灵活、高效且兼容性强的容器构建解决方案。
68 次收藏10亿+ 次下载
26 天前更新
okteto/buildkit
okteto
暂无描述
10万+ 次下载
30 天前更新
vdaas/vald-buildkit
vdaas
暂无描述
10万+ 次下载
26 天前更新
lacework/lacework-inline-scanner
lacework
暂无描述
100万+ 次下载
3 个月前更新
镜像拉取常见问题
使用与功能问题
错误码与失败问题
manifest unknown 错误:镜像不存在或标签错误
manifest unknown 错误
TLS/SSL 证书验证失败:Docker pull 时 HTTPS 证书错误
TLS 证书验证失败
DNS 解析超时:无法解析镜像仓库地址或连接超时
DNS 解析超时
410 Gone 错误:Docker 版本过低导致协议不兼容
410 错误:版本过低
402 Payment Required 错误:流量耗尽错误提示
402 错误:流量耗尽
401 UNAUTHORIZED 错误:身份认证失败或登录信息错误
身份认证失败错误
429 Too Many Requests 错误:请求频率超出专业版限制
429 限流错误
Docker login 凭证保存错误:Cannot autolaunch D-Bus(不影响登录)
凭证保存错误
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"