管理漏洞例外

目錄

容器映象中發現的漏洞有時需要額外的上下文資訊。僅僅因為映象包含易受攻擊的軟體包,並不意味著該漏洞是可利用的。Docker Scout 中的**例外**功能允許您確認已接受的風險或處理映象分析中的誤報。

透過忽略不適用的漏洞,您可以更輕鬆地讓您自己和映象的下游使用者理解漏洞在映象上下文中的安全影響。

在 Docker Scout 中,例外會自動計入結果。如果映象包含將 CVE 標記為不適用的例外,則該 CVE 將從分析結果中排除。

建立例外

要為映象建立例外,您可以:

  • 在 Docker Scout Dashboard 或 Docker Desktop 的GUI 中建立例外。
  • 建立 VEX 文件並將其附加到映象。

建立例外的推薦方法是使用 Docker Scout Dashboard 或 Docker Desktop。GUI 提供了使用者友好的介面來建立例外。它還允許您一次為多個映象或整個組織建立例外。

檢視例外

要檢視映象的例外,您需要擁有適當的許可權。

  • 使用 GUI 建立的例外對您的 Docker 組織成員可見。未經驗證的使用者或非組織成員的使用者無法看到這些例外。
  • 使用 VEX 文件 建立的例外對任何可以拉取映象的使用者可見,因為 VEX 文件儲存在映象清單或映象的檔案系統中。

在 Docker Scout Dashboard 或 Docker Desktop 中檢視例外

Docker Scout Dashboard 中漏洞頁面的**例外**選項卡列出了組織中所有映象的所有例外。從這裡,您可以檢視每個例外的更多詳細資訊、被抑制的 CVE、例外適用的映象、例外的型別以及它是如何建立的等等。

對於使用 GUI 建立的例外,選擇操作選單允許您編輯或刪除例外。

要檢視特定映象標籤的所有例外

  1. 轉到映象頁面
  2. 選擇您要檢查的標籤。
  3. 開啟**例外**選項卡。
  1. 在 Docker Desktop 中開啟**映象**檢視。
  2. 開啟**Hub**選項卡。
  3. 選擇您要檢查的標籤。
  4. 開啟**例外**選項卡。

在 CLI 中檢視例外

可用性: 實驗性
要求: Docker Scout CLI 1.15.0 及更高版本

當您執行 docker scout cves <image> 時,漏洞例外會在 CLI 中突出顯示。如果某個 CVE 被例外抑制,則 CVE ID 旁邊會顯示 SUPPRESSED 標籤。還會顯示例外的詳細資訊。

SUPPRESSED label in the CLI output
重要

為了在 CLI 中檢視例外,您必須將 CLI 配置為使用您建立例外時使用的同一個 Docker 組織。

要為 CLI 配置組織,請執行

$ docker scout configure organization <organization>

<organization> 替換為您的 Docker 組織的名稱。

您還可以透過使用 --org 標誌為每個命令設定組織。

$ docker scout cves --org <organization> <image>

要從輸出中排除被抑制的 CVE,請使用 --ignore-suppressed 標誌

$ docker scout cves --ignore-suppressed <image>