Docker Scout CLI 釋出說明

目錄

本頁面包含有關 Docker Scout CLI 外掛docker/scout-action GitHub Action 中的新功能、改進、已知問題和錯誤修復的資訊。

1.18.3

2025-08-13

新增

  • 新增 docker scout vex get 命令,以從所有 VEX 證明中檢索合並的 VEX 文件。

錯誤修復

  • Docker 加固映象 (DHI) 的次要修復。

1.18.2

2025-07-21

新增

  • docker scout attest get 新增 --skip-tlog 標誌,以跳過對透明日誌的簽名驗證。

增強功能

  • 為 DHI FIPS 和 STIG 證明新增謂詞型別的人類可讀名稱。

錯誤修復

  • 不篩選標記為 VEX under_investigation 語句的 CVE。
  • Docker 加固映象 (DHI) 的次要修復。

1.18.1

2025-05-26

錯誤修復

  • 修復 docker scout attest listdocker scout attest get 用於本地映象的問題。

1.18.0

2025-05-13

新增

  • 新增 docker scout attest listdocker scout attest get 命令以列出證明。
  • 新增對 Docker 加固映象 (DHI) VEX 文件的支援。

1.16.1

2024-12-13

錯誤修復

  • 修復 docker scout attestation add 命令的 in-toto 主題摘要。

1.16.0

2024-12-12

新增

  • docker scout sbom 命令新增秘密掃描。
  • 新增對 Tanzu Application Catalog 中映象證明的支援。

增強功能

  • 使用 SPDX 許可證列表規範化許可證。
  • 使許可證獨一無二。
  • 在 markdown 輸出中列印平臺。
  • 保留原始模式以查詢巢狀匹配。
  • 更新以使 SPDX 輸出符合規範。
  • 更新 Go、加密模組和 Alpine 依賴項。

錯誤修復

  • 修復 docker scout attest 命令中多個映象的行為。
  • 在建立臨時檔案之前檢查目錄是否存在。

1.15.0

2024-10-31

新增

  • docker scout sbom 的新 --format=cyclonedx 標誌,用於以 CycloneDX 格式輸出 SBOM。

增強功能

  • CVE 摘要使用從高到低的排序順序。
  • 支援啟用和停用由 docker scout pushdocker scout watch 啟用的儲存庫。

錯誤修復

  • 改進分析不帶證明的 oci 目錄時的訊息。僅支援單平臺映象和帶證明的多平臺映象。不支援不帶證明的多平臺映象。
  • 改進分類器和 SBOM 索引器
    • 新增 Liquibase lpm 的分類器。
    • 新增 Rakudo Star/MoarVM 二進位制分類器。
    • 新增 silverpeas 實用程式的二進位制分類器。
  • 改進 containerd 映象儲存的證明讀取和快取。

1.14.0

2024-09-24

新增

  • docker scout cves 命令中新增 CVE 級別的抑制資訊。

錯誤修復

  • 修復列出懸空映象的 CVE,例如:local://sha256:...
  • 修復分析檔案系統輸入時發生的 panic,例如使用 docker scout cves fs://.

1.13.0

2024-08-05

新增

  • docker scout quickviewdocker scout policydocker scout compare 命令新增 --only-policy 篩選選項。
  • docker scout cvesdocker scout quickview 命令新增 --ignore-suppressed 篩選選項,以篩選受例外影響的 CVE。

錯誤修復和增強

  • 在檢查中使用條件策略名稱。

  • 新增對檢測使用連結器標誌設定的 Go 專案版本的支援,例如

    $ go build -ldflags "-X main.Version=1.2.3"

1.12.0

2024-07-31

新增

  • 僅顯示基礎映象的漏洞

    命令列介面
    $ docker scout cves --only-base IMAGE
    GitHub Action
    uses: docker/scout-action@v1
with:
  command: cves
  image: [IMAGE]
  only-base: true

  • quickview 命令中考慮 VEX。

    命令列介面
    $ docker scout quickview IMAGE --only-vex-affected --vex-location ./path/to/my.vex.json
    GitHub Action
    uses: docker/scout-action@v1
with:
  command: quickview
  image: [IMAGE]
  only-vex-affected: true
  vex-location: ./path/to/my.vex.json

  • cves 命令中考慮 VEX (GitHub Actions)。

    GitHub Action
    uses: docker/scout-action@v1
with:
  command: cves
  image: [IMAGE]
  only-vex-affected: true
  vex-location: ./path/to/my.vex.json

錯誤修復和增強

  • 更新 github.com/docker/dockerv26.1.5+incompatible 以修復 CVE-2024-41110。
  • 更新 Syft 到 1.10.0。

1.11.0

2024-07-25

新增

  • 篩選 CISA 已知被利用漏洞目錄中列出的 CVE。

    命令列介面
    $ docker scout cves [IMAGE] --only-cisa-kev

... (cropped output) ...
## Packages and Vulnerabilities

0C     1H     0M     0L  io.netty/netty-codec-http2 4.1.97.Final
pkg:maven/io.netty/netty-codec-http2@4.1.97.Final

✗ HIGH CVE-2023-44487  CISA KEV  [OWASP Top Ten 2017 Category A9 - Using Components with Known Vulnerabilities]
  https://scout.docker.com/v/CVE-2023-44487
  Affected range  : <4.1.100
  Fixed version   : 4.1.100.Final
  CVSS Score      : 7.5
  CVSS Vector     : CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
... (cropped output) ...
    GitHub Action
    uses: docker/scout-action@v1
with:
  command: cves
  image: [IMAGE]
  only-cisa-kev: true

  • 新增新的分類器

    • spiped
    • swift
    • eclipse-mosquitto
    • znc

錯誤修復和增強

  • 允許在沒有子元件時進行 VEX 匹配。
  • 修復附加無效 VEX 文件時發生的 panic。
  • 修復 SPDX 文件根。
  • 修復當映象使用 SCRATCH 作為基礎映象時基礎映象的檢測。

1.10.0

2024-06-26

錯誤修復和增強

  • 新增新的分類器

    • irssi
    • Backdrop
    • CrateDB CLI (崩潰)
    • monica
    • Openliberty
    • dumb-init
    • friendica
    • redmine

  • 修復包中僅包含空白的原始名稱導致 BuildKit 匯出器中斷的問題。

  • 修復解析帶摘要映象的 SPDX 語句中的映象引用問題。

  • 支援用於映象比較的 sbom:// 字首。

    命令列介面
    $ docker scout compare sbom://image1.json --to sbom://image2.json
    GitHub Action
    uses: docker/scout-action@v1
with:
  command: compare
  image: sbom://image1.json
  to: sbom://image2.json

1.9.3

2024-05-28

錯誤修復

  • 修復檢索快取 SBOM 時發生的 panic。

1.9.1

2024-05-27

新增

  • docker scout cves 命令新增對 GitLab 容器掃描檔案格式的支援,帶 --format gitlab

    這是一個示例管道

       docker-build:
  # Use the official docker image.
  image: docker:cli
  stage: build
  services:
    - docker:dind
  variables:
    DOCKER_IMAGE_NAME: $CI_REGISTRY_IMAGE:$CI_COMMIT_REF_SLUG
  before_script:
    - docker login -u "$CI_REGISTRY_USER" -p "$CI_REGISTRY_PASSWORD" $CI_REGISTRY

    # Install curl and the Docker Scout CLI
    - |
      apk add --update curl
      curl -sSfL https://raw.githubusercontent.com/docker/scout-cli/main/install.sh | sh -s --
      apk del curl
      rm -rf /var/cache/apk/*
    # Login to Docker Hub required for Docker Scout CLI
    - echo "$DOCKER_HUB_PAT" | docker login --username "$DOCKER_HUB_USER" --password-stdin

  # All branches are tagged with $DOCKER_IMAGE_NAME (defaults to commit ref slug)
  # Default branch is also tagged with `latest`
  script:
    - docker buildx b --pull -t "$DOCKER_IMAGE_NAME" .
    - docker scout cves "$DOCKER_IMAGE_NAME" --format gitlab --output gl-container-scanning-report.json
    - docker push "$DOCKER_IMAGE_NAME"
    - |
      if [[ "$CI_COMMIT_BRANCH" == "$CI_DEFAULT_BRANCH" ]]; then
        docker tag "$DOCKER_IMAGE_NAME" "$CI_REGISTRY_IMAGE:latest"
        docker push "$CI_REGISTRY_IMAGE:latest"
      fi
  # Run this job in a branch where a Dockerfile exists
  rules:
    - if: $CI_COMMIT_BRANCH
      exists:
        - Dockerfile
  artifacts:
    reports:
      container_scanning: gl-container-scanning-report.json

錯誤修復和增強

  • 支援 docker scout attest add 命令的單架構映象。
  • docker scout quickviewdocker scout recommendations 命令中指示映象來源是否未使用 mode=max 建立。如果沒有 mode=max,基礎映象可能被錯誤檢測,導致結果不準確。

1.9.0

2024-05-24

已廢棄,轉而使用 1.9.1

1.8.0

2024-04-25

錯誤修復和增強

  • 改進 EPSS 分數和百分位的格式。

    之前

    EPSS Score      : 0.000440
EPSS Percentile : 0.092510

    之後

    EPSS Score      : 0.04%
EPSS Percentile : 9th percentile

  • 修復分析本地檔案系統時 docker scout cves 命令的 markdown 輸出。 docker/scout-cli#113

1.7.0

2024-04-15

新增

錯誤修復和增強

  • 修復使用 docker scout attestation add 將證明新增到私有倉庫中的映象。

  • 修復基於空 scratch 基礎映象的映象處理。

  • Docker Scout CLI 命令的新 sbom:// 協議允許您從標準輸入讀取 Docker Scout SBOM。

    $ docker scout sbom IMAGE | docker scout qv sbom://

  • 新增 Joomla 包的分類器。

1.6.4

2024-03-26

錯誤修復和增強

  • 修復基於 RPM 的 Linux 發行版的 epoch 處理。

1.6.3

2024-03-22

錯誤修復和增強

  • 改進包檢測,以忽略引用但未安裝的包。

1.6.2

2024-03-22

錯誤修復和增強

  • EPSS 資料現在通過後端獲取,而不是透過 CLI 客戶端。
  • 修復使用 sbom:// 字首渲染 markdown 輸出時的問題。

已移除

  • docker scout cves --epss-datedocker scout cache prune --epss 標誌已刪除。

1.6.1

2024-03-20
注意

此版本僅影響 docker/scout-action GitHub Action。

新增

  • 新增支援以 SDPX 或 in-toto SDPX 格式傳入 SBOM 檔案。

    uses: docker/scout-action@v1
with:
    command: cves
    image: sbom://alpine.spdx.json

  • 新增對 syft-json 格式 SBOM 檔案的支援。

    uses: docker/scout-action@v1
with:
    command: cves
    image: sbom://alpine.syft.json

1.6.0

2024-03-19
注意

此版本僅影響 CLI 外掛,不影響 GitHub Action。

新增

  • 新增支援以 SDPX 或 in-toto SDPX 格式傳入 SBOM 檔案。

    $ docker scout cves sbom://path/to/sbom.spdx.json

  • 新增對 syft-json 格式 SBOM 檔案的支援。

    $ docker scout cves sbom://path/to/sbom.syft.json

  • 從標準輸入讀取 SBOM 檔案。

    $ syft -o json alpine | docker scout cves sbom://

  • 按 EPSS 分數優先排序 CVE。

    • --epss 用於顯示和優先排序 CVE。
    • --epss-score--epss-percentile 用於按分數和百分位進行篩選。
    • 使用 docker scout cache prune --epss 清理快取的 EPSS 檔案。

錯誤修復和增強

  • 從 WSL2 使用 Windows 快取。

    當在 WSL2 中執行 Docker Desktop 時,Docker Scout CLI 外掛現在使用 Windows 的快取。這樣,如果映象已被 Docker Desktop 索引,則無需在 WSL2 端重新索引。

  • 如果已使用設定管理功能停用索引,則 CLI 中的索引現在會被阻止。

  • 修復分析單映象 oci-dir 輸入時可能發生的 panic。

  • 改進 containerd 映象儲存的本地證明支援。

早期版本

Docker Scout CLI 外掛早期版本的釋出說明可在 GitHub 上獲取。