使用 Docker Scout 進行修復
Docker Scout 透過根據策略評估結果提供建議來幫助您修復供應鏈或安全問題。建議是指您可以採取的改進策略合規性或向映象新增元資料以使 Docker Scout 能夠提供更好的評估結果和建議的建議操作。
Docker Scout 為以下策略型別的預設策略提供修復建議
注意自定義策略不支援引導式修復。
對於違反策略的映象,建議側重於解決合規性問題和修復違規。對於 Docker Scout 無法確定合規性的映象,建議會向您展示如何滿足先決條件,以確保 Docker Scout 能夠成功評估策略。
檢視建議
建議會顯示在 Docker Scout 控制檯的策略詳情頁面上。要訪問此頁面:
- 前往 Docker Scout 控制檯中的策略頁面。
- 選擇列表中的一個策略。
策略詳情頁面根據策略狀態將評估結果分為兩個不同的選項卡
- 違規
- 合規性未知
“違規”選項卡列出了不符合所選策略的映象。“合規性未知”選項卡列出了 Docker Scout 無法確定合規狀態的映象。當合規性未知時,Docker Scout 需要更多關於映象的資訊。
要檢視映象的建議操作,請將滑鼠懸停在列表中的一個映象上,以顯示“檢視修復”按鈕。
選擇“檢視修復”按鈕,將開啟包含映象建議操作的修復側邊欄。
如果有多個建議可用,則主要建議顯示為“推薦修復”。其他建議列為“快速修復”。快速修復通常是提供臨時解決方案的操作。
側邊欄還可能包含一個或多個與可用建議相關的幫助部分。
最新基礎映象修復
“最新基礎映象”策略檢查您使用的基礎映象是否最新。修復側邊欄中顯示建議操作取決於 Docker Scout 擁有關於您的映象的資訊量。資訊越詳細,建議越好。
以下場景概述了根據映象可用資訊提供的不同建議。
無來源證明
要使 Docker Scout 能夠評估此策略,您必須為映象新增來源證明。如果您的映象沒有來源證明,則合規性無法確定。
可用來源證明
新增來源證明後,Docker Scout 可以正確檢測您正在使用的基礎映象版本。證明中找到的版本將與相應標籤的當前版本進行交叉引用,以確定其是否最新。
如果存在策略違規,建議操作會顯示如何將您的基礎映象版本更新到最新版本,同時將基礎映象版本固定到特定摘要。有關更多資訊,請參閱固定基礎映象版本。
GitHub 整合已啟用
如果您在 GitHub 上託管映象的原始碼,您可以啟用GitHub 整合。此整合使 Docker Scout 能夠提供更有用的修復建議,並允許您直接從 Docker Scout 控制面板啟動違規修復。
啟用 GitHub 整合後,您可以使用修復側面板在映象的 GitHub 儲存庫上發起拉取請求。拉取請求會自動將 Dockerfile 中的基礎映象版本更新到最新版本。
這種自動化修復會將您的基礎映象固定到特定摘要,同時幫助您在新版本可用時保持最新。將基礎映象固定到摘要對於可重現性非常重要,並有助於避免不必要的更改進入您的供應鏈。
有關基礎映象固定的更多資訊,請參閱固定基礎映象版本。
供應鏈證明修復
預設的“供應鏈證明”策略要求映象具有完整的來源和 SBOM 證明。如果您的映象缺少證明,或者證明包含的資訊不足,則該策略將被違反。
修復側面板中提供的建議有助於指導您採取哪些行動來解決這些問題。例如,如果您的映象具有來源證明,但證明包含的資訊不足,建議您使用mode=max來源重建您的映象。