ตรวจสอบให้แน่ใจว่าส่วน "แพลตฟอร์ม" ของรูปภาพจาก DockerHub เป็นเวอร์ชันล่าสุด

ฉันต้องการใช้ภาพจาก DockerHub ฉันเชื่อถือแอปพลิเคชันที่เป็นของคอนเทนเนอร์ และฉันไว้วางใจให้ผู้ดูแลอัปเดตอิมเมจ DockerHub หากแอปพลิเคชันได้รับการอัปเดต อย่างไรก็ตามฉันไม่ไว้ใจพวกเขา สร้างนักเทียบท่า --pull ทุกครั้งที่ภาพฐานที่ใช้ได้รับการอัปเดต (เช่น เมื่อใช้ จากเดเบียน:bullseye-slim ใน Dockerfile ของพวกเขา)

สิ่งที่ฉันต้องการ: ตรวจสอบอย่างต่อเนื่องว่าทุกอย่าง (รวมถึง "แพลตฟอร์ม" หรือที่เรียกว่า Debian baseimage ในตัวอย่างนี้) เป็นปัจจุบันโดยไม่ต้องสร้างทุกอย่างด้วยตัวเอง (ถ้าเป็นไปได้)

ปัญหาหลักของฉัน: ดูเหมือนจะไม่มีวิธีตรวจสอบอิมเมจพื้นฐานจากอิมเมจนักเทียบท่าที่ดึงมา (ดู https://stackoverflow.com/questions/35310212/docker-missing-layer-ids-in-output/35312577#35312577 และคำถาม stackexchange อื่นๆ เกี่ยวกับสิ่งเดียวกัน) ดังนั้นฉันจึงไม่สามารถเปรียบเทียบเลเยอร์ของอิมเมจจากคอนเทนเนอร์ที่กำลังรันอยู่โดยอัตโนมัติและโดยทั่วไปกับอิมเมจอัพสตรีม (หรือแม้แต่วันที่อัปเดตอิมเมจแอปพลิเคชันครั้งล่าสุดกับอิมเมจพื้นฐาน)

มีวิธีทำตามที่ฉันอธิบายไว้ข้างต้นหรือไม่? หรือฉันต้องทำจริงๆ

ก) ไว้วางใจผู้ดูแลอิมเมจ DockerHub อย่างเต็มที่เพื่อให้บิลด์ไปป์ไลน์อยู่ในการตรวจสอบ หรือ

b) สร้างทุกอย่างด้วยตัวเอง (ในกรณีนี้: เหตุใดจึงมี DockerHub แทนที่จะเป็นฮับ DockerFile)

แก้ไข: ถ้านั่นอาจเกี่ยวข้อง: นี่เป็นส่วนขยายของคำถามที่เก่ากว่านี้: จะจัดการการอัปเดตความปลอดภัยภายในคอนเทนเนอร์ Docker ได้อย่างไร

ดูเหมือนว่าคุณสามารถทำได้โดยใช้บริการภายนอก เช่น snyk เพื่อสแกนรูปภาพของคุณ และใช้รูปภาพเวอร์ชันเต็มแทน "ล่าสุด"

Snyk จะแจ้งให้คุณทราบหากพบช่องโหว่ด้านความปลอดภัย นอกจากนี้ snyk สามารถสแกนทั้งอิมเมจนักเทียบท่าและโค้ดของคุณเพื่อตรวจสอบว่าคุณมีไลบรารี่ที่มีช่องโหว่ (เช่น จากการติดตั้ง npm เป็นต้น)

นอกจากนี้ หากคุณใช้การลงทะเบียนอิมเมจของผู้ให้บริการระบบคลาวด์ เช่น Cloud Register ของ GCP หรือ AWS ECR คุณจะใช้ประโยชน์จากบริการของผู้ให้บริการในการสแกนความปลอดภัยของคอนเทนเนอร์