Docker Hardened Images enhanced vulnerability scanning with Docker and Aikido
TL;DR · AI 摘要
Docker 与 Aikido 集成后,Docker Hardened Images 支持 VEX 标注,自动过滤非可利用漏洞,提升安全扫描效率。
核心要点
- Docker Hardened Images 通过 VEX 标注自动过滤非可利用漏洞,减少开发人员的工作负担。
- Aikido 读取 DHI 的 VEX 证明,并在漏洞评估中自动应用。
- DHI 图像通过 SPDX 2.3 SBOM 提供详细组件信息,提升扫描准确性。
结构提纲
按章节快速跳转。
- §引言
Docker 与 Aikido 集成后,Docker Hardened Images 支持 VEX 标注,自动过滤非可利用漏洞。
现代应用团队因 CVE 数量激增而感到压力,AI 编码代理加快了软件生成速度,但安全审查跟不上。
DHI 图像通过减少攻击面和快速补丁更新,提升基础镜像的安全性。
Aikido 读取 DHI 的 VEX 标注,自动过滤 Docker 已确认的非可利用漏洞。
扫描 DHI 需要 Aikido 账户、DHI 访问权限和 Docker Hub 个人访问令牌。
Aikido 自动检测 DHI 图像,并在后台使用正确的数据源进行扫描。
思维导图
用一张图看清主题之间的关系。
查看大纲文本(无障碍 / 无 JS 友好)
- Docker 与 Aikido 集成
- Docker Hardened Images
- VEX 标注
- 自动过滤非可利用漏洞
- SPDX 2.3 SBOM
- 提供详细组件信息
- Aikido
- 读取 VEX 证明
- 自动应用过滤
金句 / Highlights
值得收藏与分享的关键句。
Docker Hardened Images 通过 VEX 标注自动过滤非可利用漏洞,减少开发人员的工作负担。
Aikido 读取 DHI 的 VEX 证明,并在漏洞评估中自动应用。
DHI 图像通过 SPDX 2.3 SBOM 提供详细组件信息,提升扫描准确性。
Docker 加固镜像通过 Docker 和 Aikido 增强了漏洞扫描功能 | Docker
Docker 加固镜像通过 Docker 和 Aikido 增强了漏洞扫描功能
发布于 2026 年 6 月 11 日
Dan Stelzer
和
Bjorn Hovd
Aikido 现在可以使用内置的 VEX 支持扫描 Docker 加固镜像(DHI)。Docker 验证为不可利用的漏洞会自动从队列中移除,因此开发人员可以专注于真正重要的发现。本文将介绍发生了哪些变化,为什么这很重要,以及用户如何从新的集成中受益。
为什么团队被 CVE 浪费了大量时间
现代应用团队被 CVE 淹没。而且 CVE 的数量增长迅速。AI 编码代理现在生成和组装软件的速度比任何团队都能审查的速度都要快,它们会引入数百个依赖项,并按需启动新服务。他们每使用一个基础镜像,就会在某人的队列中增加一堆 CVE。代码发布的速度越快,就越需要它从一个已经最小、已经打过补丁、已经经过审查的基础开始——这正是加固镜像现在比以往任何时候都更重要的原因。
Docker 加固镜像从源头上解决了这个问题。DHI 镜像是专门构建的,通常是无发行版的,只包含工作负载所需的软件。通过设计,攻击面更小。在许多情况下,补丁的发布速度比上游更快。
如果扫描器看不到更小的攻击面,那么它就没有帮助。无发行版镜像会破坏那些期望有包管理器或 shell 的工具。简单的扫描会产生针对实际上不存在的组件的误报,或者标记那些无法到达的代码路径中的 CVE。团队最终不得不处理那些镜像作者已经知道不是问题的噪音。
新的集成填补了这一空白。DHI 会随每个镜像发布签名的 VEX 证明。Aikido 读取这些证明并在处理过程中应用它们。Docker 已经清除的 CVE 会被过滤掉,并附有明确的原因。
开始之前
要使用 Aikido 扫描 DHI,你需要以下三样东西:
- 一个有效的 Aikido 账户。
- 访问 Docker 加固镜像的权限。
- 一个具有只读权限的 Docker Hub 个人访问令牌。
- 如果你的 Docker Hub 注册表已经连接到 Aikido,可以跳过下一节。
将 Docker Hub 连接到 Aikido
在 Aikido 中,前往 设置 > 容器,点击 连接注册表。选择 Docker Hub。输入你的组织命名空间、用户名和个人访问令牌。Aikido 会发现你的仓库并列出它们以进行扫描。
扫描 Docker 加固镜像
一旦注册表连接成功,打开注册表操作菜单,点击 扫描注册表中的仓库。对于 DHI 没有额外的配置。Aikido 会自动检测加固镜像,并在后台应用正确的数据源。
在幕后,工作流程遵循 DHI 技术规范:
- 检测。Aikido 从镜像引用和注册表元数据中识别出 DHI 基础镜像。
- 分类。扫描器会拉取与镜像一起发布的签名的 SPDX 2.3 SBOM。SBOM 通过 OCI 1.1 referrer 查找从注册表中获取,或者在 /opt/docker/sbom/ 存在时从那里获取。读取经过审查的 SBOM 会产生完整且准确的组件数据,而索引一个无发行版文件系统则无法做到这一点。
- 匹配。组件通过 PURL 与 Docker OSV 馈送和上游建议馈送进行匹配。
- 应用 VEX。Aikido 会将 Docker 为镜像发布的 OpenVEX 语句叠加在一起,并抑制任何被证明已解决的漏洞发现。
VEX 状态的显示
VEX 状态
含义
Fixed
该漏洞在此镜像中已被修复。
Not Affected
Docker 已验证该 CVE 是误报或在上下文中不可利用。Aikido 默认会抑制这些漏洞。
Under Investigation
Docker 正在评估其影响。
Affected
该漏洞适用,且目前尚无修复方案。
Aikido 中的显示效果
Aikido 保持 UI 聚焦于一个核心问题:该镜像是否易受攻击。当 Docker 的 VEX 证明表明某个 CVE 不需要处理(例如,已被修复或标记为不相关),Aikido 会自动将其从活动队列中过滤掉。你无需处理它、标记它,也不需要点击任何内容。仍然留在队列中的漏洞是真正适用于该镜像的,因此你的团队只需关注真正重要的内容。
在后台,Aikido 仍然会消费完整的 OpenVEX 语句(状态、理由、镜像摘要)用于审计和合规目的。只是在 UI 中不会将其作为状态钻取显示,因为在实践中,处理漏洞的人员并不想深入查看 VEX 元数据。
结果的显示效果
在典型的 DHI 工作负载中,一旦应用了 VEX,活动队列会显著缩小。一个扫描结果返回数百个 CVE 的通用基础镜像,会减少到镜像实际携带的几个漏洞。
一个具体的例子:解析库中的一个 CVE 会出现在大多数基础镜像中。Docker 在 DHI 构建中将其标记为 not_affected,因为漏洞代码路径无法被攻击者访问。Aikido 读取该声明,将该 CVE 归类为“VEX 表明未受影响”,你的团队在处理过程中永远不会看到它。如果审计人员询问,该理由仍会附带。
对于正在追求 FedRAMP、SOC 2 或其他合规制度的团队,这非常重要。漏洞列表是诚实的。例外情况是经过签名的,可追溯到镜像发布者,并可追溯到公开的证明。你不会向审计人员展示一堵红色的墙。
总结
该集成基于 Docker Hardened Images 提供的以下信息:
- 签名的 SBOM 使 Aikido 能够在不尝试索引 distroless 文件系统的情况下获得完整的组件数据。
- OpenVEX 证明将 Docker 的可利用性判断(包括理由)直接带入扫描器。
结果是一个反映镜像中真实可利用性问题的处理队列,而不是所有曾经影响上游包的 CVE 的扁平化列表。如果你尚未开始使用加固镜像,Docker Hardened Images 文档是开始的地方。
了解更多关于集成的信息:
6 月 26 日,Aikido 将举办一场网络研讨会,欢迎有兴趣了解集成的人员参加。
注册 Aikido x Docker 网络研讨会:减少噪音,提高容器安全中的信号
资源
- 查阅我们的 Docker Hardened Images 文档。
- 在 Aikido 上设置 Docker Hub 注册表
合作伙伴
产品
安全
目录
相关文章
- 2026年5月12日 Docker AI治理:安全地释放代理自主性 介绍Docker AI治理:集中控制代理的执行方式、它们在网络中可以访问的内容、可以使用的凭证以及可以调用的MCP工具,使公司中的每位开发人员都能在任何工作环境中安全地运行AI代理。你的笔记本电脑就是新的生产环境。代理是最大的生产力释放者…… Srini Sekaran 立即阅读
- 2026年6月8日 开发团队的5个软件供应链安全最佳实践 学习容器化交付的关键软件供应链安全最佳实践,从可信的基础镜像和依赖管理到构建来源追踪和运行时监控。Aditya Tripathi 立即阅读
- 2026年6月5日 什么是AI治理?框架、原则和最佳实践 学习什么是AI治理,它为什么重要,以及如何安全且大规模地管理AI系统。Srini Sekaran 立即阅读
- 2026年6月4日 加固镜像解析:更少的CVE,更小的攻击面 学习什么是加固的容器镜像,它们如何通过移除不必要的软件包来减少CVE暴露,以及为什么它们正成为安全容器部署的标准。Aditya Tripathi 立即阅读