镜像越堆越多,漏洞越修越慌:长期产品线,镜像真得“管”起来了

举报
Echo_Wish 发表于 2026/01/08 22:40:53 2026/01/08
【摘要】 镜像越堆越多,漏洞越修越慌:长期产品线,镜像真得“管”起来了

镜像越堆越多,漏洞越修越慌:长期产品线,镜像真得“管”起来了

干运维这些年,我见过太多“看着没事,实际要命”的场景,其中容器镜像管理绝对排得上前三。

你要是问我一个问题:

👉 长期跑的产品线,最容易被忽略、但最容易出事故的是什么?

我不会说 Kubernetes,也不会说 CI/CD,
我会直接告诉你四个字:
镜像垃圾。

对,就是那些:

  • 早就不用了,但还在仓库里躺着的
  • tag 起得像谜语一样的
  • 基础镜像三年没动过的
  • 漏洞扫描一片红,但“先别动”的

今天这篇文章,我就想和你聊一件很现实的事:

镜像不是构建完就完事了,而是要“养老送终”的。

一、先戳破一个幻觉:镜像不是一次性交付品

很多团队对镜像的认知,停留在这一步:

“CI 构建成功 → push → 部署完事”

但在长期产品线里,镜像更像是:

一种持续背锅的资产

为什么这么说?

  • 产品活 3~5 年
  • 镜像活得比代码还久
  • 基础镜像漏洞在不断爆
  • 安全审计从来不看你当初“写得多辛苦”

镜像一旦进仓库,就会开始慢慢“腐烂”。

二、镜像垃圾,通常是怎么堆出来的?

我给你列几个我亲眼见过的真实情况,你看看眼不眼熟。

1️⃣ Tag 完全没有治理

myapp:latest
myapp:test
myapp:test2
myapp:fix-bug
myapp:fix-bug-final
myapp:fix-bug-final-v2

问题不是“名字难看”,
问题是:

  • 没人知道哪个在跑
  • 没人敢删
  • 最后一个都不敢动

镜像一多,勇气就没了。

2️⃣ 分支一多,镜像指数级膨胀

  • feature 分支
  • hotfix 分支
  • 临时验证分支

每个都构建镜像,每个都 push,
结果就是:

仓库像个“镜像坟场”。

3️⃣ 基础镜像多年不升级

FROM centos:7

这一行代码,
我敢说已经毁掉了无数企业的安全评估。

不是你写错了,
时间变了,漏洞多了。

三、镜像垃圾最可怕的地方:它会掩盖真正的风险

很多团队做漏洞扫描的时候,会遇到一个现象:

“扫描结果一片红,根本不知道该修哪个”

这不是工具不行,
而是垃圾太多,噪声太大

举个现实的例子

  • 仓库里 2000 个镜像
  • 真正在跑的:200
  • 高危漏洞:1500 个镜像命中

这时候你告诉安全团队:

“我们会慢慢修”

对方只会觉得你在敷衍。

四、长期产品线,镜像治理的核心不是“多”,而是“清楚”

我一直强调一句话:

镜像治理的目标,不是零漏洞,而是可控。

那什么叫“可控”?

我给你一个运维视角的定义:

  • 哪些镜像在跑:清楚
  • 哪些镜像可删:明确
  • 哪些漏洞必须修:有分级
  • 哪些基础镜像在兜底:统一

五、第一步:把“谁在用”这件事搞清楚

这是所有治理的前提

你至少要能回答这三个问题:

  1. 这个镜像有没有在跑?
  2. 跑在哪个环境?
  3. 最后一次部署是什么时候?

一个非常实用的做法

通过集群反查镜像使用情况:

kubectl get pods -A -o jsonpath='{..image}' | tr -s '[[:space:]]' '\n' | sort | uniq

然后和仓库里的镜像做对比。

你会第一次直观感受到:

原来我仓库里,大半是“尸体”。

六、第二步:给镜像一个“生命周期”

镜像也该有生老病死。

一个我用得很舒服的策略

  • 短期 tag

    • PR / feature
    • 自动过期(7~14 天)

  • 发布 tag

    • 语义化版本
    • 和代码版本绑定

  • 长期基线镜像

    • LTS
    • 有专人维护

CI 里可以直接加“过期标签”

docker build \
  --label expire_at=$(date -d "+14 days" +%s) \
  -t myapp:pr-123 .

后面清理脚本按 label 批量删。

七、第三步:漏洞不是不修,是要“分层修”

我个人非常反对一句话:

“漏洞太多了,修不过来”

这是典型的管理失败,不是技术失败

正确的漏洞分层思路

1️⃣ 只盯“在跑”的镜像

  • 运行中镜像:高优先级
  • 仓库垃圾:直接删

2️⃣ 优先修基础镜像

FROM ubuntu:22.04

基础镜像一升级,
80% 的 CVE 会自动消失。

3️⃣ 接受“非运行漏洞”

不是所有漏洞都值得你通宵修。

  • 不可达路径
  • 未安装组件
  • 非 root 环境

运维要学会对风险负责,而不是对数字负责。

八、长期产品线,最重要的是“统一底座”

我见过最稳的产品线,基本都有一个特点:

公司级基础镜像

  • 统一 OS
  • 统一安全补丁节奏
  • 统一扫描策略
FROM company-base:ubuntu22-runtime

这样做的好处只有一个字:

漏洞修一次,全线收益。

九、说点掏心窝子的感受

干运维干久了,你会慢慢意识到一件事:

真正拖垮团队的,不是事故,而是历史包袱。

镜像垃圾就是那种:

  • 平时不疼
  • 出事要命
  • 又没人敢碰的东西

但你只要肯花一段时间,把:

  • 用的留下
  • 不用的删掉
  • 基础的统一
  • 风险的分级

你会发现,后面的日子会轻松很多。

写在最后

如果你现在的产品线已经:

  • 镜像一堆
  • 漏洞一片
  • 安全一催就心虚
【声明】本内容来自华为云开发者社区博主,不代表华为云及华为云开发者社区的观点和立场。转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息,否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

确认 取消

加入云驻计划,成为创作者

  • 华为云周边好礼
  • 免费体验产品
  • 特殊身份标识
  • 线下官方门票
  • 内部专家零距离
  • 与10000+优质创作者共同成长
立即加入