Docker Scout 中的資料收集和儲存
Docker Scout 的映象分析透過收集您分析的容器映象的元資料來工作。此元資料儲存在 Docker Scout 平臺上。
資料傳輸
本節描述了 Docker Scout 收集併發送到平臺的資料。
映象元資料
Docker Scout 收集以下映象元資料
- 映象建立時間戳
- 映象摘要
- 映象暴露的埠
- 環境變數名稱和值
- 映象標籤的名稱和值
- 映象層順序
- 硬體架構
- 作業系統型別和版本
- 登錄檔 URL 和型別
映象摘要在映象構建並推送到登錄檔時為映象的每一層建立。它們是層內容的 SHA256 摘要。Docker Scout 不建立摘要;它們是從映象清單中讀取的。
這些摘要會與您自己的私有映象和 Docker 的公共映象資料庫進行匹配,以識別共享相同層的映象。共享最多層的映象被視為當前正在分析的映象的基映象匹配項。
SBOM 元資料
軟體物料清單 (SBOM) 元資料用於將包型別和版本與漏洞資料進行匹配,以推斷映象是否受到影響。當 Docker Scout 平臺從安全公告中收到有關新 CVE 或其他風險因素(例如洩露的秘密)的資訊時,它會使用 SBOM 對此資訊進行交叉引用。如果匹配,Docker Scout 會在 Docker Scout 資料顯示的介面中顯示結果,例如 Docker Scout 儀表板和 Docker Desktop。
Docker Scout 收集以下 SBOM 元資料
- 包 URL (PURL)
- 包作者和描述
- 許可證 ID
- 包名稱和名稱空間
- 包方案和大小
- 包型別和版本
- 映象中的檔案路徑
- 直接依賴項的型別
- 總包數
Docker Scout 中的 PURL 遵循 purl-spec 規範。包資訊源自映象內容,包括作業系統級程式和包,以及應用程式級包,如 maven、npm 等。
環境元資料
如果您透過 Sysdig 整合 將 Docker Scout 與您的執行時環境整合,Docker Scout 會收集以下有關您的部署的資料點
- Kubernetes 名稱空間
- 工作負載名稱
- 工作負載型別(例如,DaemonSet)
本地分析
對於在開發人員機器上本地分析的映象,Docker Scout 僅傳輸 PURL 和層摘要。這些資料不會永久儲存在 Docker Scout 平臺上;它僅用於執行分析。
出處
對於帶有 出處證明 的映象,Docker Scout 除了 SBOM 之外還儲存以下資料
- 材料
- 基礎映象
- VCS 資訊
- Dockerfile
資料儲存
為了提供 Docker Scout 服務,資料使用以下方式儲存
- 位於美國東部的 Amazon Web Services (AWS) 伺服器
- 位於美國東部的 Google Cloud Platform (GCP) 伺服器
資料根據 docker.com/legal 中描述的流程使用,以提供 Docker Scout 的關鍵功能。