Hi 国锋,
感谢回复!如之前所沟通,我们构建的RFO Kubernetes,非常依赖使用openEuler container image进行最终打包,会对其持续更新情况和安全性有一些需求。
我查了gitee上关于openEuler的dockerfile,通过读README了解到现在使用jenkins做CI。我的一点点建议是:从现在dockerfile的构建形式上看,首先确保docker-rootfs是持续更新的应该是很有必要的。其次,UTC软链接那一行看起来可以在docker-rootfs中处理,在dockerfile中处理有点多余。最后,docker-rootfs需要一个版本机制(时间戳也许就可以),dockerfile中可能需要加一行LABEL,用来标识docker-rootfs的版本号。这样用户拿到一个镜像,整体上是可溯源的。
对于CVE扫描,由于使用docker-rootfs这种模式维护,那么只要报告docker-rootfs CVE就可以了。OCI Image生态里面的CVE扫描工具,目前看还没有能兼容openEuler的。所以,当前阶段能提供docker-rootfs的CVE扫描结果,已经可以满足需求。
对应面向OCI Image的CVE扫描工具,如上次例会讨论,能有一个兼容openEuler的工具真的很重要,这是OCI Image生产流程的一部分。我清楚目前还没有这样的工具,一旦安全SIG能提供一套API可读的CVE database,我会在RFO框架下推动让NeuVector Scanner支持扫描openEuler Image。
Regards, Zhibo
发件人: 贺国锋 heguofeng@openeuler.sh 日期: 星期六, 2022年10月8日 下午6:58 收件人: Zhibo Zhang Zhibo.Zhang@suse.com 抄送: cloudnative@openeuler.org cloudnative@openeuler.org 主题: 回复:[Cloudnative] openEuler LTS容器镜像更新咨询 Hi,智博, 我是openEuler 社区 CloudNative Sig中目前在做openEuler容器镜像方面的开发。
1. 是否有明确的更新时间点? -- 这个工作正在推进,计划本周完成基础镜像和应用镜像的更新,完成后会邮件通知到大家。
2. 后续是否会有CI机制来进行持续更新? 3. 如何获取每次镜像构建后的CVE扫描结果? -- 这两个工作,线下初步和基础设施团队的同学交流了下,他们也很有意愿来搞这个能力。我们后续可以联合安全SIG和infra SIG的同学们来一起看下这个事情怎么做比较好。如果智博这边有比较好的建议或者方案,也请不吝指教。
发件人:"Zhibo Zhang"<Zhibo.Zhang@suse.commailto:Zhibo.Zhang@suse.com> 时间: 2022年10月8日 (周六) 16:04 主题: [Cloudnative] openEuler LTS容器镜像更新咨询 收件人:"cloudnative@openeuler.orgmailto:cloudnative@openeuler.org"<cloudnative@openeuler.orgmailto:cloudnative@openeuler.org> Hi Team,
我只来自SUSE & Rancher的张智博,这里有关于openEuler LTS容器镜像更新的问题。
对于22.03-lts这种容器镜像,我在最近一次例会上得知,维护组会推动更新镜像以消除一些CVE以及修复TMOUT问题。
1. 是否有明确的更新时间点? 2. 后续是否会有CI机制来进行持续更新? 3. 如何获取每次镜像构建后的CVE扫描结果?
Regards, Zhibo