映象安全洞察

目錄

利用 Docker Hub 的映象安全洞察加強 Docker 映象的安全性。Docker Hub 允許您執行定點靜態漏洞掃描或使用 Docker Scout 進行始終保持最新的映象分析。

Docker Scout 映象分析

開啟 Docker Scout 映象分析後,Docker Scout 會自動分析 Docker Hub 倉庫中的映象。

映象分析會提取軟體物料清單 (SBOM) 和其他映象元資料,並對照安全通告中的漏洞資料進行評估。

以下章節描述瞭如何開啟或關閉 Docker Hub 倉庫的 Docker Scout 映象分析。有關映象分析的更多詳細資訊,請參閱 Docker Scout

開啟 Docker Scout 映象分析

  1. 登入 Docker Hub

  2. 選擇 我的 Hub > 倉庫

    將顯示您的倉庫列表。

  3. 選擇一個倉庫。

    將顯示倉庫的常規頁面。

  4. 選擇設定選項卡。

  5. 映象安全洞察設定下,選擇 Docker Scout 映象分析

  6. 選擇儲存

關閉 Docker Scout 映象分析

  1. 登入 Docker Hub

  2. 選擇 我的 Hub > 倉庫

    將顯示您的倉庫列表。

  3. 選擇一個倉庫。

    將顯示倉庫的常規頁面。

  4. 選擇設定選項卡。

  5. 映象安全洞察設定下,選擇

  6. 選擇儲存

靜態漏洞掃描

注意

Docker Hub 靜態漏洞掃描需要 Docker Pro、Team 或 Business 訂閱。

開啟靜態掃描後,當您向 Docker Hub 倉庫推送映象時,Docker Hub 會自動掃描映象以識別漏洞。掃描結果顯示了掃描執行時您的映象的安全狀態。

掃描結果包括

  • 漏洞來源,例如作業系統 (OS) 包和庫
  • 引入漏洞的版本
  • 推薦的修復版本(如果可用),用於修復發現的漏洞。

Docker Hub 靜態掃描的變更

自 2023 年 2 月 27 日起,Docker 更改了支援 Docker Hub 靜態掃描功能的技術。靜態掃描現在由 Docker 本身提供支援,而不是第三方。

由於此更改,掃描現在能夠以比以前更精細的粒度檢測漏洞。這反過來意味著漏洞報告可能會顯示更多數量的漏洞。如果您在 2023 年 2 月 27 日之前使用過漏洞掃描,您可能會發現新的漏洞報告列出了更多數量的漏洞,這是由於更徹底的分析所致。

您無需採取任何行動。掃描將照常執行,不會中斷或更改價格。歷史資料將繼續可用。

開啟靜態漏洞掃描

倉庫所有者和管理員可以啟用倉庫的靜態漏洞掃描。如果您是 Team 或 Business 訂閱的成員,請確保您希望啟用掃描的倉庫是 Team 或 Business 層級的一部分。

當倉庫的掃描處於活動狀態時,任何擁有推送許可權的人都可以透過向 Docker Hub 推送映象來觸發掃描。

開啟靜態漏洞掃描

注意

靜態漏洞掃描支援掃描 AMD64 架構、Linux 作業系統且大小小於 10 GB 的映象。

  1. 登入 Docker Hub

  2. 選擇 我的 Hub > 倉庫

    將顯示您的倉庫列表。

  3. 選擇一個倉庫。

    將顯示倉庫的常規頁面。

  4. 選擇設定選項卡。

  5. 映象安全洞察設定下,選擇靜態掃描

  6. 選擇儲存

掃描映象

要掃描映象是否存在漏洞,請將映象推送到 Docker Hub 中已開啟掃描的倉庫。

檢視漏洞報告

檢視漏洞報告

  1. 登入 Docker Hub

  2. 選擇 我的 Hub > 倉庫

    將顯示您的倉庫列表。

  3. 選擇一個倉庫。

    將顯示倉庫的常規頁面。漏洞報告可能需要幾分鐘才能顯示在您的倉庫中。

    Vulnerability scan report

  4. 選擇標籤選項卡,然後選擇摘要,再選擇漏洞以檢視詳細掃描報告。

    掃描報告顯示掃描識別到的漏洞,並按嚴重程度排序,最嚴重的列在頂部。報告顯示包含該漏洞的包的資訊、引入該漏洞的版本,以及該漏洞是否在更高版本中得到修復。

    Vulnerability scan details

有關此檢視的更多資訊,請參閱 映象詳細檢視

檢查漏洞

漏洞報告根據漏洞的嚴重程度對其進行排序。報告顯示包含該漏洞的包的資訊、引入該漏洞的版本,以及該漏洞是否在更高版本中得到修復。

漏洞掃描報告還允許開發團隊和安全負責人比較不同標籤之間的漏洞數量,以檢視漏洞是隨時間推移減少還是增加。

修復漏洞

一旦識別到漏洞列表,您可以採取幾種措施來修復這些漏洞。例如,您可以:

  1. 在 Dockerfile 中指定更新的基礎映象,檢查您的應用程式級依賴項,重新構建 Docker 映象,然後將新映象推送到 Docker Hub。
  2. 重建 Docker 映象,在作業系統包上執行更新命令,並將新版本的映象推送到 Docker Hub。
  3. 編輯 Dockerfile,手動刪除或更新包含漏洞的特定庫,重新構建映象,並將新映象推送到 Docker Hub。

Docker Scout 可以為您提供具體的、有針對性的修復步驟,以提高映象安全性。有關更多資訊,請參閱 Docker Scout

關閉靜態漏洞掃描

倉庫所有者和管理員可以停用倉庫的靜態漏洞掃描。要停用掃描:

  1. 登入 Docker Hub

  2. 選擇 我的 Hub > 倉庫

    將顯示您的倉庫列表。

  3. 選擇一個倉庫。

    將顯示倉庫的常規頁面。

  4. 選擇設定選項卡。

  5. 映象安全洞察設定下,選擇

  6. 選擇儲存

頁面選項