諮詢資料庫來源和匹配服務
可靠的資訊源對於 Docker Scout 評估軟體工件相關性和準確性的能力至關重要。鑑於行業內來源和方法的多樣性,漏洞評估結果中出現差異在所難免。本頁面描述了 Docker Scout 諮詢資料庫及其 CVE 到軟體包匹配方法如何處理這些差異。
諮詢資料庫來源
Docker Scout 從多個來源聚合漏洞資料。資料會持續更新,以確保您的安全態勢即時反映最新可用資訊。
Docker Scout 使用以下軟體包倉庫和安全跟蹤器
- AlmaLinux 安全諮詢
- Alpine secdb
- Amazon Linux 安全中心
- Bitnami 漏洞資料庫
- CISA 已知漏洞利用目錄
- CISA 漏洞豐富
- Chainguard 安全源
- Debian 安全漏洞跟蹤器
- 漏洞利用預測評分系統 (EPSS)
- GitHub 諮詢資料庫
- GitLab 諮詢資料庫
- Golang VulnDB
- 國家漏洞資料庫
- Oracle Linux 安全
- Photon OS 3.0 安全諮詢
- Python 打包諮詢資料庫
- RedHat 安全資料
- Rocky Linux 安全諮詢
- RustSec 諮詢資料庫
- SUSE 安全 CVRF
- Ubuntu CVE 跟蹤器
- Wolfi 安全源
- inTheWild,一個社群驅動的漏洞利用開放資料庫
當您為 Docker 組織啟用 Docker Scout 時,Docker Scout 平臺會配置一個新的資料庫例項。該資料庫儲存您的映象的軟體物料清單 (SBOM) 和其他元資料。當安全諮詢有關於漏洞的新資訊時,您的 SBOM 會與 CVE 資訊進行交叉引用,以檢測它如何影響您。
有關映象分析工作原理的更多詳細資訊,請參閱映象分析頁面。
嚴重性和評分優先順序
Docker Scout 在確定 CVE 的嚴重性和評分時遵循兩個主要原則
- 來源優先順序
- CVSS 版本偏好
對於來源優先順序,Docker Scout 遵循以下順序
供應商諮詢:Scout 始終使用與軟體包和版本匹配的來源的嚴重性和評分資料。例如,Debian 軟體包的 Debian 資料。
NIST 評分資料:如果供應商未提供 CVE 的評分資料,Scout 會回退到 NIST 評分資料。
對於 CVSS 版本偏好,一旦 Scout 選擇了一個來源,如果同時存在 CVSS v4 和 v3,它會優先選擇 v4,因為 v4 是更現代、更精確的評分模型。
漏洞匹配
傳統工具通常依賴於廣泛的通用產品列舉 (CPE) 匹配,這可能導致許多誤報結果。
Docker Scout 使用軟體包 URL (PURLs) 將軟體包與 CVE 進行匹配,從而更精確地識別漏洞。PURLs 顯著降低了誤報的可能性,僅關注真正受影響的軟體包。
支援的軟體包生態系統
Docker Scout 支援以下軟體包生態系統
- .NET
- GitHub 軟體包
- Go
- Java
- JavaScript
- PHP
- Python
- RPM
- Ruby
alpm(Arch Linux)apk(Alpine Linux)deb(Debian Linux 及其衍生版)