mcp/root Docker Image Overview

mcp/root

mcp

MCP服务器提供容器镜像漏洞扫描与修复能力，用于保障容器镜像的安全性。

5 次收藏下载次数: 0状态：社区镜像维护者：mcp仓库类型：镜像最近更新：8 个月前

轩辕镜像，加速的不只是镜像。点击查看

中文简介版本下载

轩辕镜像，加速的不只是镜像。点击查看

Root.io 漏洞修复 MCP 服务器

1. 镜像概述和主要用途

Root.io 漏洞修复 MCP 服务器是一个提供容器镜像漏洞扫描与修复能力的 MCP (Model Context Protocol) 服务器，通过 Root.io 平台实现相关功能。

什么是 MCP 服务器？

2. 核心功能和特性

2.1 基本特性

属性	详情
Docker 镜像	mcp/root
作者	rootio-avr
代码仓库	[***]
Dockerfile	[***]
Docker 镜像构建方	Docker Inc.
Docker Scout 健康评分	!Docker Scout Health Score
验证签名	`COSIGN_REPOSITORY=mcp/signatures cosign verify mcp/root --key [***]`
许可证	MIT License

2.2 可用工具（11个）

服务器提供的工具	简短描述
`create_registry_integration`	在 Root 系统中创建注册表集成。
`get_image_remediation`	根据给定的 image_remediation_id（imgrmd_...）检索镜像修复信息。
`get_remediation_continuity_summary`	获取特定 FQIN 的修复连续性摘要，显示一段时间内的聚合修复和漏洞趋势。
`get_remediation_details_by_scan_id`	获取给定扫描 ID 的修复详情，主要关注 Root 升级/修补的包及结果镜像名称。
`get_remediation_status`	获取镜像修复过程的详细状态和结果。
`get_user_info`	获取当前用户信息，包括组织详情。
`list_remediation_continuity_summaries`	列出组织的所有修复连续性摘要，显示所有 FQIN 的聚合修复和漏洞趋势。
`list_unique_fqins`	列出组织的所有唯一 FQIN（完全限定镜像名称）。
`ping`	健康检查端点，返回服务器状态和时间戳。
`registries_credentials_list`	列出组织的所有私有注册表凭据。
`trigger_remediation`	触发容器镜像的异步镜像修复过程。

3. 使用场景和适用范围

3.1 典型使用场景

企业容器镜像漏洞自动化扫描与修复流程
私有容器注册表集成与安全管理
镜像修复状态跟踪与漏洞趋势分析
生成详细的修复报告（含升级包列表和结果镜像信息）
组织级容器镜像安全状态监控

3.2 适用范围

需要管理容器镜像安全的企业和组织
使用私有/公共容器注册表的开发与运维团队
容器安全自动化流程构建者
需满足合规要求的镜像漏洞修复跟踪场景

4. 详细使用方法和配置说明

4.1 工具详细说明

4.1.1 `create_registry_integration`

创建 Root 系统与容器注册表的集成，用于拉取待修复镜像和推送修复后的镜像。建议在修复未集成的私有注册表镜像时使用此工具，采用向导式配置流程。

参数

参数	类型	描述
`display_name`	`string`	注册表集成的名称（例如：'backend_dockerhub_prod'）
`organization_id`	`string`	目标组织 ID
`registry`	`string`	注册表类型，可选值：dockerhub、ghcr、gitlab、ecr、gar、sonatype_nexus、quay、acr
`test_image`	`string`	用于测试连接的镜像（需存在于目标注册表）
`access_key_id`	`string` 可选	ECR 注册表的 AWS 访问密钥 ID
`account_service_key_file`	`string` 可选	GAR 注册表的 GCP 服务账户密钥文件（JSON 字符串）
`client_id`	`string` 可选	ACR 注册表的 Azure 客户端 ID
`client_secret`	`string` 可选	ACR 注册表的 Azure 客户端密钥
`personal_access_token`	`string` 可选	PAT 认证注册表（DockerHub/GHCR/GitLab 等）的访问令牌
`region`	`string` 可选	ECR 注册表的 AWS 区域
`role_arn`	`string` 可选	ECR 注册表的 AWS 角色 ARN（用于角色假设）
`secret_key`	`string` 可选	ECR 注册表的 AWS 密钥
`username`	`string` 可选	PAT 认证注册表的用户名

4.1.2 `get_image_remediation`

检索指定 image_remediation_id 的修复详情，包括升级包列表、结果镜像 FQIN 或不修复的决策理由。

参数

参数	类型	描述
`image_remediation_id`	`string`	镜像修复 ID（格式：imgrmd_...）
`organization_id`	`string`	组织 ID（从 `get_user_info` 获取）

4.1.3 `get_remediation_continuity_summary`

获取特定 FQIN 的修复连续性摘要，展示一段时间内的聚合修复和漏洞趋势，包括 Root 补丁数量、上游升级数量及漏洞严重程度变化。

参数

参数	类型	描述
`organization_id`	`string`	组织 ID（从 `get_user_info` 获取）
`untagged_fqin`	`string`	不带标签的完全限定镜像名称（例如：'docker.io/library/ubuntu'）

4.1.4 `get_remediation_details_by_scan_id`

根据扫描 ID 获取修复详情，主要包含 Root 升级/修补的包信息及可拉取的结果镜像名称。

参数

参数	类型	描述
`organization_id`	`string`	组织 ID（从 `get_user_info` 获取）
`scan_id`	`string`	扫描 ID

4.1.5 `get_remediation_status`

跟踪镜像修复过程的详细状态和结果，使用 trigger_remediation 返回的 remediation_id。

流程步骤：pulling → scanning → evaluating → remediating → rescanning → pushing → completed
状态类型：

流程状态：in_progress（进行中）、completed（已完成）、failed（失败）
扫描状态：scan_status_pending（待处理）、scan_status_running（运行中）、scan_status_completed（已完成）、scan_status_failed（失败）

参数

参数	类型	描述
`organization_id`	`string`	组织 ID（从 `get_user_info` 获取）
`remediation_id`	`string`	修复 ID（从 `trigger_remediation` 获取）

4.1.6 `get_user_info`

获取当前用户信息及组织详情，是所有操作的首要工具。返回包含组织成员资格、角色和访问权限的用户配置文件，其中 organization_id 为后续工具调用的必需参数。

4.1.7 `list_remediation_continuity_summaries`

列出组织所有镜像的修复连续性摘要，展示每个 FQIN 的聚合修复信息和漏洞趋势。

参数

参数	类型	描述
`organization_id`	`string`	组织 ID（从 `get_user_info` 获取）

4.1.8 `list_unique_fqins`

返回组织内所有已处理修复的唯一 FQIN（完全限定镜像名称）列表，用于发现可分析的镜像。

参数

参数	类型	描述
`organization_id`	`string`	组织 ID（从 `get_user_info` 获取）

4.1.9 `ping`

服务器健康检查端点，返回服务器状态和当前时间戳。

4.1.10 `registries_credentials_list`

列出组织的私有注册表凭据，返回的 creds_id 用于 trigger_remediation 工具的私有镜像访问认证。

参数

参数	类型	描述
`organization_id`	`string`	组织 ID（从 `get_user_info` 获取）

4.1.11 `trigger_remediation`

触发容器镜像的异步修复流程，是核心功能入口。

工作流程：

通过 get_user_info 获取 organization_id
通过 registries_credentials_list 获取私有注册表 creds_id
调用此工具启动修复流程

修复流程：扫描漏洞 → 生成 SBOM → 评估 OS/架构支持 → 应用安全补丁 → 重新扫描 → 推送修复镜像至注册表，返回 remediation_id 用于状态跟踪。

参数

参数	类型	描述
`image_name`	`string`	完整镜像名称（含注册表、仓库和标签，例如：'registry.com/repo/image:tag'）
`organization_id`	`string`	组织 ID（从 `get_user_info` 获取）
`arch`	`string` 可选	目标架构（例如：'amd64'、'arm64'），未指定时自动检测
`creds_id`	`string` 可选	注册表凭据 ID（私有镜像必需，公共镜像不应提供）

5. 部署方案示例

5.1 Docker 运行命令

bash
docker run -i --rm -e API_ACCESS_TOKEN=sk_your_access_token mcp/root

环境变量说明：

API_ACCESS_TOKEN: Root.io API 访问令牌，需替换为实际令牌（格式：sk_ 开头）

5.2 Docker Compose 配置

yaml
version: '3.8'

services:
  mcp-root-server:
    image: mcp/root
    container_name: mcp-root-server
    environment:
      - API_ACCESS_TOKEN=sk_your_access_token  # 替换为实际访问令牌
    stdin_open: true  # 保持标准输入打开
    tty: true         # 分配伪终端
    restart: unless-stopped

启动命令：

bash
docker-compose up -d

5.3 镜像签名验证

为确保镜像完整性，可使用 cosign 验证镜像签名：

bash
COSIGN_REPOSITORY=mcp/signatures cosign verify mcp/root --key [***]

6. 许可证

本镜像遵循 MIT 许可证。

查看更多 root 相关镜像 →

mcp/playwright

mcp

Playwright MCP服务器是基于微软Playwright自动化测试工具的管理控制平台，主要用于跨浏览器（如Chrome、Firefox、WebKit等）的端到端测试任务调度与执行，支持用户交互模拟、多环境部署管理、测试资源分配、CI/CD流程集成及测试结果分析，能有效提升Web应用测试效率，保障应用在不同浏览器和设备上的兼容性与稳定性，助力开发团队实现高质量软件交付。

Grafana的MCP服务器，提供47种工具用于事件管理、监控数据查询、仪表板操作等，支持模型上下文协议集成。

20 次收藏10万+ 次下载

10 天前更新

mcp/dynatrace-mcp-server

mcp

允许与Dynatrace可观测性平台交互，将实时可观测性数据直接带入开发工作流的MCP服务器。

官方Notion MCP服务器，通过模型上下文协议提供Notion API工具，支持创建评论、数据库、管理块和页面等19种操作，便于集成Notion功能到AI应用中。

Context7 MCP Server是为大型语言模型和AI代码编辑器提供最新代码文档的服务器。

从互联网获取URL并将其内容提取为markdown格式。

54 次收藏100万+ 次下载

13 天前更新

轩辕镜像配置手册

探索更多轩辕镜像的使用方法，找到最适合您系统的配置方式

Docker 配置

登录仓库拉取

通过 Docker 登录认证访问私有仓库

专属域名拉取

无需登录使用专属域名

K8s Containerd

Kubernetes 集群配置 Containerd

K3s

K3s 轻量级 Kubernetes 镜像加速

Dev Containers

VS Code Dev Containers 配置

Podman

Podman 容器引擎配置

Singularity/Apptainer

HPC 科学计算容器配置

其他仓库配置

ghcr、Quay、nvcr 等镜像仓库

系统配置

Linux

在 Linux 系统配置镜像服务

Windows/Mac

在 Docker Desktop 配置镜像

MacOS OrbStack

MacOS OrbStack 容器配置

Docker Compose

Docker Compose 项目配置

NAS 设备

群晖

Synology 群晖 NAS 配置

飞牛

飞牛 fnOS 系统配置镜像

绿联

绿联 NAS 系统配置镜像

威联通

QNAP 威联通 NAS 配置

极空间

极空间 NAS 系统配置服务

网络设备

爱快路由

爱快 iKuai 路由系统配置

宝塔面板

在宝塔面板一键配置镜像

需要其他帮助？请查看我们的常见问题Docker 镜像访问常见问题解答或提交工单

镜像拉取常见问题

使用与功能问题

docker search 报错：专属域名下仅支持 Docker Hub 查询

docker search 报错问题

网页搜不到镜像：Docker Hub 有但轩辕镜像搜索无结果

镜像搜索不到

离线传输镜像：无法直连时用 docker save/load 迁移

离线传输镜像

Docker 插件安装错误：application/vnd.docker.plugin.v1+json

Docker 插件安装错误

WSL 下 Docker 拉取慢：网络与挂载目录影响及优化

WSL 拉取镜像慢

轩辕镜像是否安全？镜像完整性校验（digest）说明

镜像安全性

如何用轩辕镜像拉取镜像？登录方式与专属域名配置

如何拉取镜像

错误码与失败问题

manifest unknown 错误：镜像不存在或标签错误

manifest unknown 错误

TLS/SSL 证书验证失败：Docker pull 时 HTTPS 证书错误

TLS 证书验证失败

DNS 解析超时：无法解析镜像仓库地址或连接超时

DNS 解析超时

410 Gone 错误：Docker 版本过低导致协议不兼容

410 错误：版本过低

402 Payment Required 错误：流量耗尽错误提示

402 错误：流量耗尽

401 UNAUTHORIZED 错误：身份认证失败或登录信息错误

身份认证失败错误

429 Too Many Requests 错误：请求频率超出专业版限制

429 限流错误

Docker login 凭证保存错误：Cannot autolaunch D-Bus（不影响登录）

凭证保存错误

账号 / 计费 / 权限

免费版与专业版区别：功能、限额与使用场景对比

免费版与专业版区别

支持的镜像仓库：Docker Hub、GCR、GHCR、K8s 等列表

轩辕镜像支持的镜像仓库

拉取失败是否扣流量？计费规则说明

拉取失败流量计费

KYSEC 权限不够：麒麟 V10/统信 UOS 下脚本执行被拦截

KYSEC 权限错误

如何申请开具发票？（增值税普票/专票）

开具发票

如何修改网站与仓库登录密码？

修改网站和仓库密码

配置与原理类

registry-mirrors 未生效：仍访问官方仓库或报错的原因

registry-mirrors 未生效

如何去掉镜像名称中的轩辕域名前缀？（docker tag）

去掉域名前缀

如何拉取指定架构镜像？（ARM64/AMD64 等多架构）

拉取指定架构镜像

查看全部问题→

用户好评

来自真实用户的反馈，见证轩辕镜像的优质服务

oldzhang

运维工程师

Linux服务器

"Docker访问体验非常流畅，大镜像也能快速完成下载。"