taha2samy/openjdk

# Wolfi Java FIPS (高保障运行时) [](https://taha2samy.github.io/openjdk/) [](https://taha2samy.github.io/openjdk/) [](https://taha2samy.github.io/openjdk/) 一套强化的、**符合 FIPS 140-3 标准**的 Java 容器镜像，专为关键任务工作负载设计。基于 **Wolfi OS** (undistro) 生态系统构建，由 **Eclipse Temurin (Adoptium)** 二进制文件驱动，并集成了 **Bouncy Castle FIPS**。 ## 🛡️ 架构与强化 本项目通过覆盖默认的 JVM 安全栈来实现**强化的加密边界**： 1. **Wolfi 基础：** 基于 Glibc 的零 CVE 基础，具有最小的攻击面。 2. **严格的 FIPS 执行：** Bouncy Castle FIPS (BC-FJA) 作为主要安全提供者被注入。 3. **运行时护栏：** 系统属性在 JVM 级别被锁定 (`approved_only=true`)，以明确拒绝非批准的算法 (MD5, DES, RSA < 2048)。 4. **KeyStore 完整性：** 系统会自动将 `cacerts` 转换为 **BCFKS** (Bouncy Castle FIPS KeyStore) 格式。 5. **供应链安全：** 符合 SLSA Level 3 标准的流水线，包含签名构件和完整来源。 ## 🚀 镜像类型 我们为每个 LTS 版本 (8, 11, 17, 21, 25) 提供三个层级： | 类型 | 描述 | 目标用例 | | :--- | :--- | :--- | | `jdk_standard` | 完整 SDK + Shell + 包管理器 | CI/CD 构建阶段 | | `jre_standard` | 优化的运行时 + 基础 Shell | 生产环境 (标准) | | `jre_distroless` | **无 Shell / 无 APK / 非 Root** | 高安全生产环境 | ## 🧪 持续验证 每个镜像版本都经过严格的自动化测试套件 (32+ 断言)，涵盖： - **正向测试：** TLS 1.3 连接、BCFKS 加载、SHA-256/AES-GCM 验证。 - **负向测试：** 验证边界成功**阻止** MD5、MD4、Triple-DES 和弱 RSA 密钥。 详细的合规报告可在我们的 [安全仪表板](https://taha2samy.github.io/openjdk/) 上获取。 ## 📦 使用方法 ``` # 拉取 Java 21 Hardened Runtime docker pull ghcr.io/taha2samy/java:21-jre_distroless ``` `ENTRYPOINT` 已预配置为 `/opt/java/bin/java`。所有安全属性通过 `JAVA_TOOL_OPTIONS` 注入，无需修改应用程序代码即可实现 FIPS 执行。 ## 🔗 项目链接 - **文档与报告：** [https://taha2samy.github.io/openjdk/](https://taha2samy.github.io/openjdk/) - **镜像仓库：** [GitHub Container Registry](https://github.com/taha2samy/openjdk/pkgs/container/java)

标签：Bouncy Castle, Distroless, DNS 反向解析, Eclipse Temurin, FIPS 140-3, GHAS, Java安全, JS文件枚举, JVM加固, SLSA Level 3, TLS 1.3, Wolfi OS, Zero CVE, 人工智能安全, 企业级安全, 合规性, 安全容器, 容器镜像, 密码学, 手动系统调用, 文档安全, 无漏洞基线, 系统加固, 网络信息收集, 请求拦截, 软件开发工具包, 运行时保护, 防御机制, 高保障运行时