Hi 国锋，

感谢回复！如之前所沟通，我们构建的RFO Kubernetes，非常依赖使用openEuler container image进行最终打包，会对其持续更新情况和安全性有一些需求。

我查了gitee上关于openEuler的dockerfile，通过读README了解到现在使用jenkins做CI。我的一点点建议是：从现在dockerfile的构建形式上看，首先确保docker-rootfs是持续更新的应该是很有必要的。其次，UTC软链接那一行看起来可以在docker-rootfs中处理，在dockerfile中处理有点多余。最后，docker-rootfs需要一个版本机制（时间戳也许就可以），dockerfile中可能需要加一行LABEL，用来标识docker-rootfs的版本号。这样用户拿到一个镜像，整体上是可溯源的。

对于CVE扫描，由于使用docker-rootfs这种模式维护，那么只要报告docker-rootfs CVE就可以了。OCI Image生态里面的CVE扫描工具，目前看还没有能兼容openEuler的。所以，当前阶段能提供docker-rootfs的CVE扫描结果，已经可以满足需求。

对应面向OCI Image的CVE扫描工具，如上次例会讨论，能有一个兼容openEuler的工具真的很重要，这是OCI Image生产流程的一部分。我清楚目前还没有这样的工具，一旦安全SIG能提供一套API可读的CVE database，我会在RFO框架下推动让NeuVector Scanner支持扫描openEuler Image。

Regards,

Zhibo

发件人: 贺国锋 <heguofeng@openeuler.sh>

 日期: 星期六, 2022年10月8日 下午6:58

 收件人: Zhibo Zhang <Zhibo.Zhang@suse.com>

 抄送: cloudnative@openeuler.org <cloudnative@openeuler.org>

 主题: 回复：[Cloudnative] openEuler LTS容器镜像更新咨询

Hi，智博，

    我是openEuler 社区 CloudNative Sig中目前在做openEuler容器镜像方面的开发。

1.    是否有明确的更新时间点？

     -- 这个工作正在推进，计划本周完成基础镜像和应用镜像的更新，完成后会邮件通知到大家。

2.    后续是否会有CI机制来进行持续更新？

3.    如何获取每次镜像构建后的CVE扫描结果？

    -- 这两个工作，线下初步和基础设施团队的同学交流了下，他们也很有意愿来搞这个能力。我们后续可以联合安全SIG和infra SIG的同学们来一起看下这个事情怎么做比较好。如果智博这边有比较好的建议或者方案，也请不吝指教。

发件人："Zhibo Zhang"<Zhibo.Zhang@suse.com>

时间： 2022年10月8日 (周六) 16:04

主题： [Cloudnative] openEuler LTS容器镜像更新咨询

收件人："cloudnative@openeuler.org"<cloudnative@openeuler.org>

Hi Team,

我只来自SUSE & Rancher的张智博，这里有关于openEuler LTS容器镜像更新的问题。

对于22.03-lts这种容器镜像，我在最近一次例会上得知，维护组会推动更新镜像以消除一些CVE以及修复TMOUT问题。

1.    是否有明确的更新时间点？

2.    后续是否会有CI机制来进行持续更新？

3.    如何获取每次镜像构建后的CVE扫描结果？

Regards,

Zhibo