使用 Docker 和 Black Duck 实现精准容器安全
TL;DR · AI 摘要
文章为Docker官方营销文案,宣传与Black Duck集成的容器安全功能,缺乏技术细节、实证数据或架构说明,信息密度低。
核心要点
- Docker与Black Duck集成可扫描容器镜像中的漏洞。
- 该方案旨在提升企业容器镜像的安全合规性。
- 文章未提供性能对比、集成方式或真实案例,实用性有限。
思维导图
用一张图看清主题之间的关系。
查看大纲文本(无障碍 / 无 JS 友好)
- Precision Container Security with Docker and Black Duck
使用 Docker 和 Black Duck 实现精准容器安全 | Docker
来自 800 多位构建者与领导者的 AI 代理现状洞察。立即下载您的副本
✕
[](http://www.docker.com/)
- AI
AI
- Docker for AI 简化代理开发
- Docker MCP 目录与工具包 连接和管理 MCP 工具
- Docker Model Runner 轻松实现本地优先的 LLM 推理
- Docker Sandboxes 为编码代理打造全新的隔离环境
更多开发者资源
产品
- Docker Hardened Images 新增:搭载安全、企业就绪的镜像
- Docker Desktop 容器化您的应用程序
- Docker Hub 发现和共享容器镜像
- Docker Scout 简化软件供应链
- Docker Build Cloud 加速您的镜像构建
- Testcontainers Desktop 使用真实依赖进行本地测试
- Testcontainers Cloud 在云端无限制测试
- Docker MCP 目录与工具包 新增:连接和管理 MCP 工具
- Docker Offload 摆脱本地限制
- 开发者
开发者
- 文档 查找 Docker 产品的使用指南
- 入门 学习 Docker 基础知识
- 资源 搜索丰富的实用材料库
- 培训 提升您的 Docker 技能
- Extensions SDK 创建和分享您自己的扩展
- 社区 与其他 Docker 开发者建立联系
- 开源 探索开源项目
- 预览计划 帮助塑造 Docker 的未来
- 客户案例 获取客户故事启发
更多开发者资源
公司
- 关于我们 让我们自我介绍
- 什么是容器?了解容器化技术
- 为什么选择 Docker?了解我们的独特优势
- 信任 查看我们的客户信任资源
- 合作伙伴 成为 Docker 合作伙伴
- 客户成功 了解如何借助 Docker 取得成功
- 活动 参加线下与线上聚会
- Docker 商店 购买独家周边商品
- 招聘 加入我们的团队
- 联系我们 我们期待您的来信
搜索
切换菜单
扫描仪集成
使用 Docker 和 Black Duck 实现精准容器安全
发布于 2026 年 5 月 5 日
现代容器化应用的复杂性常常使开发者淹没在大量“噪音”中——这些漏洞存在于文件系统中,但对应用程序本身却毫无实际风险。[Black Duck](https://www.blackduck.com/platform.html) 与 Docker Hardened Images (DHI) 的集成,为这一挑战提供了明确的解决方案。通过结合 Docker 默认安全的架构、VEX(漏洞可利用性交换) 声明,以及 Black Duck 行业领先的分析引擎,团队现在可以自动区分基础层噪音与应用层风险。
通过结合 Docker 默认安全的架构、VEX(漏洞可利用性交换) 声明,以及 Black Duck 行业领先的分析引擎,团队现在可以自动区分基础层噪音与应用层风险。
**简而言之:Black Duck + Docker 的价值主张**
- 零配置识别: Black Duck 在扫描过程中自动识别 DHI 基础镜像,无需手动打标签。
- 精准分类: 利用 Docker 提供的 VEX 数据和 Black Duck 安全公告(BDSAs),忽略“不受影响”的基础镜像漏洞。
- 全面漏洞情报: 结合 Docker 的可利用性数据与 Black Duck 的专有研究,降低分类成本,消除误报。
- 合规自动化: 导出富含 VEX 可利用性状态的高保真 SBOM,满足《欧洲网络韧性法案》(CRA)等全球法规,以及 FDA 对医疗设备和政府机构所要求的行业标准中的透明漏洞义务。
**软件完整性的综合策略**
Black Duck 的容器安全策略基于“协同增效”理念,利用两种独立但互补的分析技术,实现全方位的可见性:
- Black Duck 二进制分析(BDBA): 我们于 2026 年 4 月 14 日发布了针对 DHI 的主要集成。BDBA 对 DHI 中的编译资产进行深度、基于签名的检查,无需访问源代码即可验证容器的“出厂状态”。
- Black Duck 软件组成分析(SCA): 不久后,Black Duck 将把这种 DHI 识别与验证能力扩展至我们的旗舰 SCA 平台。此次更新将把 DHI 智能与源码端依赖管理统一起来,为整个 SDLC 提供单一、全面的软件物料清单(SBOM)。
**通过二进制匹配与 SCA 路线图实现深度可见性**
传统扫描工具通常仅依赖简单的包管理器清单,而 Black Duck 则看得更深。
- 基于签名的准确性: 使用 BDBA(3 月 31 日发布),Black Duck 通过二进制“指纹”识别 DHI 组件,即使包元数据被剥离或修改,仍能确保准确性。
- 迈向统一的 SCA: 我们的路线图包括将这些 DHI 洞察直接整合进 Black Duck SCA。这将使安全团队能够在单一界面中,对基于 DHI 的容器应用与对应用源代码相同的治理策略。
- 分层分析: 轻松在加固的基础镜像与您的自定义应用层之间切换,精准定位风险引入的位置。
**动态风险分类:VEX + BDSA 智能**
开发者生产力的最大消耗来自手动分类。此集成通过自动化数据流实现“可达性”与“可利用性”的落地:
- VEX 集成: Black Duck 将 Docker 的 VEX 声明作为主要可信来源。若 Docker 确认某基础镜像漏洞因加固过程“不受影响”,Black Duck 将自动屏蔽该警报。
- 超越 NVD: 竞争对手依赖国家漏洞数据库(NVD),而 Black Duck 使用 BDSAs。这些公告通常比 NVD 提前数日发布,提供更深入的可利用性上下文和具体的修复路径。
- 批量策略执行: 安全团队可设置全局 Black Duck 策略,自动“忽略”任何由 Docker 提供的“不受影响”状态声明支持的漏洞,无需人工干预即可清除数千条无效警报。
**通过自动化工作流实现安全运营**
Black Duck 不仅发现漏洞,更管理容器的整个生命周期:
- SLA 跟踪: 当自定义层中的漏洞超出组织风险阈值时,自动触发 Jira 工单或邮件提醒。
- 流水线门控: 使用 Black Duck Detect CLI,仅在应用代码中发现“可达”或“未处理”的风险时才中断构建,确保 CI/CD 流水线顺畅运行。
- 持续补丁: 对于企业级 DHI 用户,Black Duck 会验证已修复的基础镜像是否已同步至您的私有仓库,从而确认缓解措施已完成,无需开发者手动“重新扫描”以证明合规。
**免费开始使用**
- 查看 Docker 关于 VEX 的文档:https://docs.docker.com/dhi/core-concepts/vex/
- 了解更多关于 Docker 对 CVE 可利用性与可审计性的方法:https://www.docker.com/blog/why-we-chose-the-harder-path-docker-hardened-images-one-year-later/
- 阅读 Black Duck 的 VEX 文档:[https://documentation.blackduck.com/bundle/bd-hub/page/Reporting/vexReport_global.html](https://documentation.blackduck.com/bundle