mcp/root Docker 镜像 - 轩辕镜像
mcp/rootMCP服务器提供容器镜像漏洞扫描与修复能力,用于保障容器镜像的安全性。
5 收藏0 次下载activemcp
Root.io 漏洞修复 MCP 服务器
1. 镜像概述和主要用途
Root.io 漏洞修复 MCP 服务器是一个提供容器镜像漏洞扫描与修复能力的 MCP (Model Context Protocol) 服务器,通过 Root.io 平台实现相关功能。
什么是 MCP 服务器?
2. 核心功能和特性
2.1 基本特性
| 属性 | 详情 |
|---|---|
| Docker 镜像 | mcp/root |
| 作者 | rootio-avr |
| 代码仓库 | [***] |
| Dockerfile | [***] |
| Docker 镜像构建方 | Docker Inc. |
| Docker Scout 健康评分 | !Docker Scout Health Score |
| 验证签名 | COSIGN_REPOSITORY=mcp/signatures cosign verify mcp/root --key [***] |
| 许可证 | MIT License |
2.2 可用工具(11个)
| 服务器提供的工具 | 简短描述 |
|---|---|
create_registry_integration | 在 Root 系统中创建注册表集成。 |
get_image_remediation | 根据给定的 image_remediation_id(imgrmd_...)检索镜像修复信息。 |
get_remediation_continuity_summary | 获取特定 FQIN 的修复连续性摘要,显示一段时间内的聚合修复和漏洞趋势。 |
get_remediation_details_by_scan_id | 获取给定扫描 ID 的修复详情,主要关注 Root 升级/修补的包及结果镜像名称。 |
get_remediation_status | 获取镜像修复过程的详细状态和结果。 |
get_user_info | 获取当前用户信息,包括组织详情。 |
list_remediation_continuity_summaries | 列出组织的所有修复连续性摘要,显示所有 FQIN 的聚合修复和漏洞趋势。 |
list_unique_fqins | 列出组织的所有唯一 FQIN(完全限定镜像名称)。 |
ping | 健康检查端点,返回服务器状态和时间戳。 |
registries_credentials_list | 列出组织的所有私有注册表凭据。 |
trigger_remediation | 触发容器镜像的异步镜像修复过程。 |
3. 使用场景和适用范围
3.1 典型使用场景
- 企业容器镜像漏洞自动化扫描与修复流程
- 私有容器注册表集成与安全管理
- 镜像修复状态跟踪与漏洞趋势分析
- 生成详细的修复报告(含升级包列表和结果镜像信息)
- 组织级容器镜像安全状态监控
3.2 适用范围
- 需要管理容器镜像安全的企业和组织
- 使用私有/公共容器注册表的开发与运维团队
- 容器安全自动化流程构建者
- 需满足合规要求的镜像漏洞修复跟踪场景
4. 详细使用方法和配置说明
4.1 工具详细说明
4.1.1 create_registry_integration
创建 Root 系统与容器注册表的集成,用于拉取待修复镜像和推送修复后的镜像。建议在修复未集成的私有注册表镜像时使用此工具,采用向导式配置流程。
参数
| 参数 | 类型 | 描述 |
|---|---|---|
display_name | string | 注册表集成的名称(例如:'backend_dockerhub_prod') |
organization_id | string | 目标组织 ID |
registry | string | 注册表类型,可选值:dockerhub、ghcr、gitlab、ecr、gar、sonatype_nexus、quay、acr |
test_image | string | 用于测试连接的镜像(需存在于目标注册表) |
access_key_id | string 可选 | ECR 注册表的 AWS 访问密钥 ID |
account_service_key_file | string 可选 | GAR 注册表的 GCP 服务账户密钥文件(JSON 字符串) |
client_id | string 可选 | ACR 注册表的 Azure 客户端 ID |
client_secret | string 可选 | ACR 注册表的 Azure 客户端密钥 |
personal_access_token | string 可选 | PAT 认证注册表(DockerHub/GHCR/GitLab 等)的访问令牌 |
region | string 可选 | ECR 注册表的 AWS 区域 |
role_arn | string 可选 | ECR 注册表的 AWS 角色 ARN(用于角色假设) |
secret_key | string 可选 | ECR 注册表的 AWS 密钥 |
username | string 可选 | PAT 认证注册表的用户名 |
注意:此工具可能执行破坏性更新,且与外部系统交互。
4.1.2 get_image_remediation
检索指定 image_remediation_id 的修复详情,包括升级包列表、结果镜像 FQIN 或不修复的决策理由。
重要提示:获取镜像修复信息时应同时调用
get_remediation_continuity_summary以生成完整报告。
参数
| 参数 | 类型 | 描述 |
|---|---|---|
image_remediation_id | string | 镜像修复 ID(格式:imgrmd_...) |
organization_id | string | 组织 ID(从 get_user_info 获取) |
注意:此工具可能执行破坏性更新,且与外部系统交互。
4.1.3 get_remediation_continuity_summary
获取特定 FQIN 的修复连续性摘要,展示一段时间内的聚合修复和漏洞趋势,包括 Root 补丁数量、上游升级数量及漏洞严重程度变化。
前置要求:需先通过
list_unique_fqins获取准确的 FQIN。
参数
| 参数 | 类型 | 描述 |
|---|---|---|
organization_id | string | 组织 ID(从 get_user_info 获取) |
untagged_fqin | string | 不带标签的完全限定镜像名称(例如:'docker.io/library/ubuntu') |
注意:此工具可能执行破坏性更新,且与外部系统交互。
4.1.4 get_remediation_details_by_scan_id
根据扫描 ID 获取修复详情,主要包含 Root 升级/修补的包信息及可拉取的结果镜像名称。
重要提示:获取镜像修复信息时应同时调用
get_remediation_continuity_summary以生成完整报告。
参数
| 参数 | 类型 | 描述 |
|---|---|---|
organization_id | string | 组织 ID(从 get_user_info 获取) |
scan_id | string | 扫描 ID |
注意:此工具可能执行破坏性更新,且与外部系统交互。
4.1.5 get_remediation_status
跟踪镜像修复过程的详细状态和结果,使用 trigger_remediation 返回的 remediation_id。
流程步骤:pulling → scanning → evaluating → remediating → rescanning → pushing → completed
状态类型:
- 流程状态:
in_progress(进行中)、completed(已完成)、failed(失败) - 扫描状态:
scan_status_pending(待处理)、scan_status_running(运行中)、scan_status_completed(已完成)、scan_status_failed(失败)
参数
| 参数 | 类型 | 描述 |
|---|---|---|
organization_id | string | 组织 ID(从 get_user_info 获取) |
remediation_id | string | 修复 ID(从 trigger_remediation 获取) |
注意:此工具可能执行破坏性更新,且与外部系统交互。
4.1.6 get_user_info
获取当前用户信息及组织详情,是所有操作的首要工具。返回包含组织成员资格、角色和访问权限的用户配置文件,其中 organization_id 为后续工具调用的必需参数。
4.1.7 list_remediation_continuity_summaries
列出组织所有镜像的修复连续性摘要,展示每个 FQIN 的聚合修复信息和漏洞趋势。
前置要求:需先通过
list_unique_fqins获取 FQIN 列表。
参数
| 参数 | 类型 | 描述 |
|---|---|---|
organization_id | string | 组织 ID(从 get_user_info 获取) |
注意:此工具可能执行破坏性更新,且与外部系统交互。
4.1.8 list_unique_fqins
返回组织内所有已处理修复的唯一 FQIN(完全限定镜像名称)列表,用于发现可分析的镜像。
参数
| 参数 | 类型 | 描述 |
|---|---|---|
organization_id | string | 组织 ID(从 get_user_info 获取) |
注意:此工具可能执行破坏性更新,且与外部系统交互。
4.1.9 ping
服务器健康检查端点,返回服务器状态和当前时间戳。
4.1.10 registries_credentials_list
列出组织的私有注册表凭据,返回的 creds_id 用于 trigger_remediation 工具的私有镜像访问认证。
参数
| 参数 | 类型 | 描述 |
|---|---|---|
organization_id | string | 组织 ID(从 get_user_info 获取) |
注意:此工具可能执行破坏性更新,且与外部系统交互。
4.1.11 trigger_remediation
触发容器镜像的异步修复流程,是核心功能入口。
工作流程:
- 通过
get_user_info获取organization_id - 通过
registries_credentials_list获取私有注册表creds_id - 调用此工具启动修复流程
修复流程:扫描漏洞 → 生成 SBOM → 评估 OS/架构支持 → 应用安全补丁 → 重新扫描 → 推送修复镜像至注册表,返回 remediation_id 用于状态跟踪。
参数
| 参数 | 类型 | 描述 |
|---|---|---|
image_name | string | 完整镜像名称(含注册表、仓库和标签,例如:'registry.com/repo/image:tag') |
organization_id | string | 组织 ID(从 get_user_info 获取) |
arch | string 可选 | 目标架构(例如:'amd64'、'arm64'),未指定时自动检测 |
creds_id | string 可选 | 注册表凭据 ID(私有镜像必需,公共镜像不应提供) |
注意:此工具可能执行破坏性更新,且与外部系统交互。
5. 部署方案示例
5.1 Docker 运行命令
bashdocker run -i --rm -e API_ACCESS_TOKEN=sk_your_access_token mcp/root
环境变量说明:
API_ACCESS_TOKEN: Root.io API 访问令牌,需替换为实际令牌(格式:sk_开头)
5.2 Docker Compose 配置
yamlversion: '3.8' services: mcp-root-server: image: mcp/root container_name: mcp-root-server environment: - API_ACCESS_TOKEN=sk_your_access_token # 替换为实际访问令牌 stdin_open: true # 保持标准输入打开 tty: true # 分配伪终端 restart: unless-stopped
启动命令:
bashdocker-compose up -d
5.3 镜像签名验证
为确保镜像完整性,可使用 cosign 验证镜像签名:
bashCOSIGN_REPOSITORY=mcp/signatures cosign verify mcp/root --key [***]
6. 许可证
本镜像遵循 MIT 许可证。
mcp/playwright
by mcp
认证
Playwright MCP服务器是基于微软Playwright自动化测试工具的管理控制平台,主要用于跨浏览器(如Chrome、Firefox、WebKit等)的端到端测试任务调度与执行,支持用户交互模拟、多环境部署管理、测试资源分配、CI/CD流程集成及测试结果分析,能有效提升Web应用测试效率,保障应用在不同浏览器和设备上的兼容性与稳定性,助力开发团队实现高质量软件交付。
25100K+ pulls
上次更新:1 个月前
mcp/grafana
by mcp
认证
Grafana的MCP服务器,提供47种工具用于事件管理、监控数据查询、仪表板操作等,支持模型上下文协议集成。
19100K+ pulls
上次更新:1 个月前
mcp/fetch
by mcp
认证
从互联网获取URL并将其内容提取为markdown格式。
491M+ pulls
上次更新:6 个月前
mcp/context7
by mcp
认证
Context7 MCP Server是为大型语言模型和AI代码编辑器提供最新代码文档的服务器。
18100K+ pulls
上次更新:6 个月前
mcp/notion
by mcp
认证
官方Notion MCP服务器,通过模型上下文协议提供Notion API工具,支持创建评论、数据库、管理块和页面等19种操作,便于集成Notion功能到AI应用中。
3450K+ pulls
上次更新:4 个月前
mcp/docker
by mcp
认证
MCP智能网关是AI工具目录的核心组件,负责AI工具的接入、管理与协同调度,提供统一接口层与流量控制能力。
45100K+ pulls
上次更新:5 个月前
轩辕镜像配置手册
探索更多轩辕镜像的使用方法,找到最适合您系统的配置方式
登录仓库拉取
通过 Docker 登录认证访问私有仓库
Linux
在 Linux 系统配置镜像服务
Windows/Mac
在 Docker Desktop 配置镜像
Docker Compose
Docker Compose 项目配置
K8s Containerd
Kubernetes 集群配置 Containerd
K3s
K3s 轻量级 Kubernetes 镜像加速
宝塔面板
在宝塔面板一键配置镜像
群晖
Synology 群晖 NAS 配置
飞牛
飞牛 fnOS 系统配置镜像
极空间
极空间 NAS 系统配置服务
爱快路由
爱快 iKuai 路由系统配置
绿联
绿联 NAS 系统配置镜像
威联通
QNAP 威联通 NAS 配置
Podman
Podman 容器引擎配置
Singularity/Apptainer
HPC 科学计算容器配置
其他仓库配置
ghcr、Quay、nvcr 等镜像仓库
专属域名拉取
无需登录使用专属域名
需要其他帮助?请查看我们的 常见问题Docker 镜像访问常见问题解答 或 提交工单
镜像拉取常见问题
轩辕镜像免费版与专业版有什么区别?
免费版仅支持 Docker Hub 访问,不承诺可用性和速度;专业版支持更多镜像源,保证可用性和稳定速度,提供优先客服响应。
轩辕镜像支持哪些镜像仓库?
专业版支持 docker.io、gcr.io、ghcr.io、registry.k8s.io、nvcr.io、quay.io、mcr.microsoft.com、docker.elastic.co 等;免费版仅支持 docker.io。
流量耗尽错误提示
当返回 402 Payment Required 错误时,表示流量已耗尽,需要充值流量包以恢复服务。
410 错误问题
通常由 Docker 版本过低导致,需要升级到 20.x 或更高版本以支持 V2 协议。
manifest unknown 错误
先检查 Docker 版本,版本过低则升级;版本正常则验证镜像信息是否正确。
镜像拉取成功后,如何去掉轩辕镜像域名前缀?
使用 docker tag 命令为镜像打上新标签,去掉域名前缀,使镜像名称更简洁。
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"