Hi 国锋,

 

感谢回复!如之前所沟通,我们构建的RFO Kubernetes,非常依赖使用openEuler container image进行最终打包,会对其持续更新情况和安全性有一些需求。

 

我查了gitee上关于openEulerdockerfile,通过读README了解到现在使用jenkinsCI。我的一点点建议是:从现在dockerfile的构建形式上看,首先确保docker-rootfs是持续更新的应该是很有必要的。其次,UTC软链接那一行看起来可以在docker-rootfs中处理,在dockerfile中处理有点多余。最后,docker-rootfs需要一个版本机制(时间戳也许就可以),dockerfile中可能需要加一行LABEL,用来标识docker-rootfs的版本号。这样用户拿到一个镜像,整体上是可溯源的。

 

对于CVE扫描,由于使用docker-rootfs这种模式维护,那么只要报告docker-rootfs CVE就可以了。OCI Image生态里面的CVE扫描工具,目前看还没有能兼容openEuler的。所以,当前阶段能提供docker-rootfsCVE扫描结果,已经可以满足需求。

 

对应面向OCI ImageCVE扫描工具,如上次例会讨论,能有一个兼容openEuler的工具真的很重要,这是OCI Image生产流程的一部分。我清楚目前还没有这样的工具,一旦安全SIG能提供一套API可读的CVE database,我会在RFO框架下推动让NeuVector Scanner支持扫描openEuler Image

 

 

Regards,

Zhibo

 

 

发件人: 贺国锋 <heguofeng@openeuler.sh>
日期: 星期六, 2022108 下午6:58
收件人: Zhibo Zhang <Zhibo.Zhang@suse.com>
抄送: cloudnative@openeuler.org <cloudnative@openeuler.org>
主题: 回复:[Cloudnative] openEuler LTS容器镜像更新咨询

Hi,智博,

    我是openEuler 社区 CloudNative Sig中目前在做openEuler容器镜像方面的开发。

 

1.    是否有明确的更新时间点?

     -- 这个工作正在推进,计划本周完成基础镜像和应用镜像的更新,完成后会邮件通知到大家。

 

2.    后续是否会有CI机制来进行持续更新?

3.    如何获取每次镜像构建后的CVE扫描结果?

    -- 这两个工作,线下初步和基础设施团队的同学交流了下,他们也很有意愿来搞这个能力。我们后续可以联合安全SIGinfra SIG的同学们来一起看下这个事情怎么做比较好。如果智博这边有比较好的建议或者方案,也请不吝指教。

 

发件人:"Zhibo Zhang"<Zhibo.Zhang@suse.com>

时间: 2022108 (周六) 16:04

主题: [Cloudnative] openEuler LTS容器镜像更新咨询

Hi Team,

 

我只来自SUSE & Rancher的张智博,这里有关于openEuler LTS容器镜像更新的问题。

 

对于22.03-lts这种容器镜像,我在最近一次例会上得知,维护组会推动更新镜像以消除一些CVE以及修复TMOUT问题。

 

1.    是否有明确的更新时间点?

2.    后续是否会有CI机制来进行持续更新?

3.    如何获取每次镜像构建后的CVE扫描结果?

 

Regards,

Zhibo