Dockle 容器镜像安全扫描工具与 Docker 26 版本兼容性问题解析

Dockle 是一款专注于容器镜像安全扫描的开源工具，能够帮助开发者检测容器镜像中的安全配置问题。近期随着 Docker 引擎升级到 26 版本，许多用户遇到了 Dockle 无法扫描本地构建镜像的问题。

问题现象

当用户使用 Docker 26 版本构建镜像后，尝试使用 Dockle 进行扫描时，会出现类似以下的错误信息：

FATAL   unable to initialize a image struct: failed to initialize source: reading manifest b in container-registry/library/a: requested access to the resource is denied

这个问题的核心在于 Dockle 无法正确识别本地构建的镜像，而是错误地尝试从公共容器注册表拉取镜像。

问题根源

经过深入分析，这个问题主要涉及以下几个技术层面：

1. Docker 构建机制变化：从 Docker 23 版本开始，BuildKit 成为默认构建引擎。BuildKit 的构建结果默认保留在缓存中，不会自动导出到 Docker 守护进程。

2. 镜像引用解析逻辑：Dockle 在处理镜像引用时，对于没有明确指定注册表的镜像名称（如 app-name:latest），在 Docker 26 版本后不再优先检查本地镜像，而是直接尝试从公共容器注册表拉取。

3. 版本兼容性问题：Dockle 的不同版本对 Docker 26 的支持程度不同，特别是 0.4.13 及以下版本存在明显的兼容性问题。

解决方案

针对这个问题，开发者可以采用以下几种解决方案：

1. 升级 Dockle 版本：使用 Dockle 0.4.14 或更高版本可以解决大部分兼容性问题。

2. 明确指定构建输出：在使用 docker buildx build 命令时，添加 --load 参数将构建结果加载到本地 Docker 守护进程：

   docker buildx build -t app:latest --load ./src
   

3. 调整 CI/CD 工作流：如果使用自动化流程，可以修改配置：

   - name: Lint container using Dockle
     uses: container://goodwithtech/dockle:v0.4.14
     with:
       args: app:latest
   

最佳实践建议

1. 版本一致性：确保 Docker 引擎和 Dockle 工具都使用较新的稳定版本，避免版本间的不兼容问题。

2. 构建流程标准化：在 CI/CD 流程中明确指定构建输出目标，避免依赖默认行为。

3. 镜像标签规范化：为镜像使用完整的引用格式（包括注册表路径），减少解析歧义。

4. 环境隔离：考虑为不同的项目使用独立的构建环境，避免缓存和配置冲突。

总结

Docker 引擎的版本升级带来了性能改进和新功能，但同时也可能引入与周边工具的兼容性问题。通过理解底层机制的变化，并采取适当的应对措施，开发者可以确保容器安全扫描流程的持续稳定运行。Dockle 团队已经在新版本中修复了这个问题，建议用户及时升级以获得最佳体验。