映象安全洞察

目錄

藉助 Docker Hub 的映象安全洞察,增強 Docker 映象的安全性。Docker Hub 允許您執行即時靜態漏洞掃描或使用 Docker Scout 進行始終更新的映象分析。

Docker Scout 映象分析

開啟 Docker Scout 映象分析後,Docker Scout 會自動分析 Docker Hub 倉庫中的映象。

映象分析提取軟體物料清單 (SBOM) 和其他映象元資料,並根據安全公告中的漏洞資料進行評估。

以下部分介紹瞭如何為 Docker Hub 倉庫開啟或關閉 Docker Scout 映象分析。有關映象分析的更多詳細資訊,請參閱 Docker Scout

開啟 Docker Scout 映象分析

  1. 登入 Docker Hub

  2. 選擇 My Hub > Repositories

    將顯示您的倉庫列表。

  3. 選擇一個倉庫。

    將顯示倉庫的General頁面。

  4. 選擇Settings標籤頁。

  5. Image security insight settings下,選擇Docker Scout image analysis

  6. 選擇儲存

關閉 Docker Scout 映象分析

  1. 登入 Docker Hub

  2. 選擇 My Hub > Repositories

    將顯示您的倉庫列表。

  3. 選擇一個倉庫。

    將顯示倉庫的General頁面。

  4. 選擇Settings標籤頁。

  5. Image security insight settings下,選擇None

  6. 選擇儲存

靜態漏洞掃描

注意

Docker Hub 靜態漏洞掃描需要 Docker Pro、Team 或 Business 訂閱。

在開啟靜態掃描後,當您將映象推送到 Docker Hub 倉庫時,Docker Hub 會自動掃描該映象以識別漏洞。掃描結果顯示了掃描執行時映象的安全狀態。

掃描結果包括

  • 漏洞來源,例如作業系統 (OS) 包和庫
  • 引入的版本
  • 如果可用,建議的修復版本,以修復發現的漏洞。

Docker Hub 中靜態掃描的變化

自 2023 年 2 月 27 日起,Docker 更改了支援 Docker Hub 靜態掃描功能的技術。靜態掃描現在由 Docker 原生提供支援,而不是第三方。

由於此更改,掃描現在比以前檢測漏洞的粒度更細。這反過來意味著漏洞報告可能會顯示更多漏洞。如果您在 2023 年 2 月 27 日之前使用過漏洞掃描,您可能會發現新的漏洞報告列出的漏洞數量更多,這是由於更徹底的分析。

您無需採取任何行動。掃描將照常執行,不會中斷或更改定價。歷史資料將繼續可用。

開啟靜態漏洞掃描

倉庫所有者和管理員可以在倉庫上啟用靜態漏洞掃描。如果您是團隊或商業訂閱的成員,請確保您要啟用掃描的倉庫屬於團隊或商業級別。

當倉庫上的掃描處於活動狀態時,任何具有推送訪問許可權的人都可以透過將映象推送到 Docker Hub 來觸發掃描。

要啟用靜態漏洞掃描

注意

靜態漏洞掃描支援掃描 AMD64 架構、Linux 作業系統且大小小於 10 GB 的映象。

  1. 登入 Docker Hub

  2. 選擇 My Hub > Repositories

    將顯示您的倉庫列表。

  3. 選擇一個倉庫。

    將顯示倉庫的General頁面。

  4. 選擇Settings標籤頁。

  5. Image security insight settings下,選擇Static scanning

  6. 選擇儲存

掃描映象

要掃描映象以查詢漏洞,請將映象推送到 Docker Hub,推送到您已開啟掃描的倉庫。

檢視漏洞報告

檢視漏洞報告

  1. 登入 Docker Hub

  2. 選擇 My Hub > Repositories

    將顯示您的倉庫列表。

  3. 選擇一個倉庫。

    將顯示倉庫的General頁面。漏洞報告可能需要幾分鐘才能顯示在您的倉庫中。

    Vulnerability scan report

  4. 選擇Tags標籤頁,然後選擇Digest,然後選擇Vulnerabilities以檢視詳細的掃描報告。

    掃描報告顯示了掃描識別出的漏洞,並根據其嚴重程度進行排序,最高嚴重程度的漏洞列在頂部。它顯示了包含漏洞的軟體包資訊、引入漏洞的版本,以及漏洞是否在更高版本中得到修復。

    Vulnerability scan details

有關此檢視的更多資訊,請參閱 映象詳細資訊檢視

檢查漏洞

漏洞報告根據其嚴重程度對漏洞進行排序。它顯示了包含漏洞的軟體包資訊、引入漏洞的版本,以及漏洞是否在更高版本中得到修復。

漏洞掃描報告還允許開發團隊和安全負責人比較不同標籤的漏洞數量,以檢視漏洞是否隨時間推移而減少或增加。

修復漏洞

一旦確定了漏洞列表,您可以採取一些措施來修復這些漏洞。例如,您可以

  1. 在 Dockerfile 中指定更新的基礎映象,檢查應用程式級依賴項,重新構建 Docker 映象,然後將新映象推送到 Docker Hub。
  2. 重新構建 Docker 映象,對作業系統包執行更新命令,然後將新版本的映象推送到 Docker Hub。
  3. 編輯 Dockerfile 以手動刪除或更新包含漏洞的特定庫,重新構建映象,並將新映象推送到 Docker Hub

Docker Scout 可以為您提供具體且情境化的修復步驟,以提高映象安全性。有關更多資訊,請參閱 Docker Scout

關閉靜態漏洞掃描

倉庫所有者和管理員可以停用倉庫上的靜態漏洞掃描。要停用掃描

  1. 登入 Docker Hub

  2. 選擇 My Hub > Repositories

    將顯示您的倉庫列表。

  3. 選擇一個倉庫。

    將顯示倉庫的General頁面。

  4. 選擇Settings標籤頁。

  5. Image security insight settings下,選擇None

  6. 選擇儲存