编者按：这是谷歌一系列关于容器安全的博客文章的延续。

作为谷歌Kubernetes引擎（GKE）的用户，您已经很喜欢为您的节点选择几个操作系统（OS）映像，我们在幕后为您维护和更新这些映像，特别是容器优化操作系统（COS）和Ubuntu。根据您的需要，为您的工作负载带来您自己的容器映像。今天，我们也在扩展对容器映像的支持，使用托管的基本映像，您可以将其作为构建应用程序的起点。

在Google Cloud，我们长期以来一直将基本映像作为基础设施的一部分来维护，淘客，该基础设施为托管服务（如Google App Engine）提供动力。对于托管的基本映像，我只是数据，我们将为这些常见操作系统提供基本映像，并自动对其进行修补。只要Dockerfile中的FROM字段指向`$发行版：最新`从CloudMarketplace中，您知道这些图像已使用来自上游的最新可用修补程序进行了修正。这样，您就可以轻松地保持图像的最新状态，而不必从未知的存储库中提取图像，也不必自己维护图像。

托管的基本图像处理的是容器通常寿命很短，并且经常重新部署，物联网城市，因此很难遵循最佳实践，例如确保容器映像是从最新和可信的源构建的。容器将二进制文件和库捆绑在一起，作为容器映像的一部分。而不是将小的更改推送到正在运行的容器中，物联网设备，而是重建和重新部署整个映像，包括基本映像、二进制文件和库。对于托管的基本映像，任何可以被动进行的过程（例如修补）都是在持续的基础上进行的，以便在下次部署时获取最新的修补程序。

今天，托管基本映像可用于以下发行版：

托管基本映像遵循安全最佳实践除了通过定期修补和测试进行维护外，还可以通过将其与原始源进行比较来重新构建。我们可以验证没有引入任何缺陷。

托管基本映像与。无分发映像

托管基本映像的另一种替代方法是无分发映像。这些图像仅包含应用程序及其运行时依赖项，国内大数据，大大减少了潜在的攻击面。如果你一开始就没有一个新发现的漏洞包，它就不会影响你！无分发映像删除包管理器、shell或在标准Linux发行版中可能找到的其他程序，因此您将重点放在真正重要的方面：降低漏洞扫描通常产生的信噪比，无分发和管理的基本映像对于您的容器来说都是很好的选择。如果您需要完整的Linux发行版，包括包管理器或shell等功能，那么托管的基本映像是一个不错的选择。如果您想要最锁定的选项，那么无分发映像可能是更好的选择。阅读有关托管基本映像的更多信息，并直接从云市场中获取它们。

使用托管基本映像

如果您决定使用托管基本映像，则在使用容器注册表漏洞扫描扫描这些基本映像时，您可能会注意到仍有一些漏洞。这是意料之中的，可能有多种原因：

此外，请注意，尽管你在拉`$发行版：最新`，这并不是从发行版的最新版本（如Ubuntu）中获取，而是从发行版的特定版本（如ubuntu16.04）获取最新版本。这意味着您获得了安全修补程序，但没有意外的新功能。

CentOS支持

基于流行的需求，我们还推出了对CentOS的支持，带有托管的基本映像。CentOS是一个社区驱动的操作系统，为构建容器提供了一个强大的基础。

CentOS管理的基础映像使用"yum"和"rpm"进行包管理，并且这些仅通过HTTPS连接获取rpm文件。您可以直接从云市场获取CentOS基础映像。

为了帮助您进一步保护您的映像，我们还发布了一个关于映像验证最佳实践的新解决方案，作为CI/CD过程的一部分。由于容器是不可变的，所以它们不断地被重建和重新部署。通过简单、一致的CI/CD过程，您可以持续验证和限制环境中的最终结果。

简而言之，我们建议您采取以下步骤来验证容器映像：

要了解有关容器映像验证的更多信息，请查看Kubernetes Engine上的安全软件供应链。有关容器安全最佳实践的更多内容，请阅读我们的容器安全指南。