映像安全性洞察

目錄

利用 Docker Hub 的映像檔安全性洞察,增強 Docker 映像檔的安全性。Docker Hub 允許您執行時間點靜態漏洞掃描,或使用 Docker Scout 進行持續更新的映像檔分析。

Docker Scout 映像分析

開啟 Docker Scout 映像檔分析後,Docker Scout 會自動分析您 Docker Hub 儲存庫中的映像檔。

映像檔分析會提取軟體物料清單 (SBOM) 及其他映像檔中繼資料,並針對安全性公告中的漏洞資料進行評估。

以下章節說明如何為 Docker Hub 儲存庫開啟或關閉 Docker Scout 映像檔分析。關於映像檔分析的更多詳細資訊,請參閱 Docker Scout

開啟 Docker Scout 映像檔分析

  1. 登入 Docker Hub

  2. 選擇 我的 Hub > 儲存庫

    您的儲存庫列表將顯示。

  3. 選擇一個儲存庫。

    儲存庫的 一般 頁面將顯示。

  4. 選擇 設定 (Settings) 頁籤。

  5. 映像檔安全性洞察設定 (Image security insight settings) 下,選擇 Docker Scout 映像檔分析

  6. 選取「Save」。

關閉 Docker Scout 映像檔分析

  1. 登入 Docker Hub

  2. 選擇 我的 Hub > 儲存庫

    您的儲存庫列表將顯示。

  3. 選擇一個儲存庫。

    儲存庫的 一般 頁面將顯示。

  4. 選擇 設定 (Settings) 頁籤。

  5. 映像檔安全性洞察設定 (Image security insight settings) 下,選擇 無 (None)

  6. 選取「Save」。

靜態弱點掃描

注意

Docker Hub 靜態漏洞掃描需要 Docker Pro、Team 或 Business 訂閱方案。

在開啟靜態掃描後,當您將映像檔推送至 Docker Hub 儲存庫時,Docker Hub 會自動掃描映像檔以識別漏洞。掃描結果會顯示執行掃描時映像檔的安全性狀態。

掃描結果包含:

  • 漏洞來源,例如作業系統 (OS) 套件與函式庫
  • 引入該漏洞的版本
  • 若有可用,建議的修復版本,以解決發現的漏洞。

Docker Hub 靜態掃描的變更

自 2023 年 2 月 27 日起,Docker 變更了支援 Docker Hub 靜態掃描功能的技術。靜態掃描現在由 Docker 原生提供,而非使用第三方解決方案。

由於此變更,掃描現在能以更細緻的層級偵測漏洞。這意味著漏洞報告可能會顯示出更多的漏洞數量。如果您在 2023 年 2 月 27 日之前使用過漏洞掃描,您可能會發現新的漏洞報告列出的漏洞數量更多,這是因為分析更加詳盡的緣故。

您無需進行任何操作。掃描會照常繼續執行,不會中斷,價格也不會有所變更。歷史資料將持續可供存取。

開啟靜態漏洞掃描

儲存庫擁有者與管理員可在儲存庫上啟用靜態漏洞掃描。如果您是 Team 或 Business 訂閱方案的成員,請確保您想要啟用掃描的儲存庫屬於 Team 或 Business 層級。

當儲存庫啟用掃描功能後,任何擁有推送權限的使用者皆可透過將映像檔推送至 Docker Hub 來觸發掃描。

若要啟用靜態漏洞掃描:

注意

靜態漏洞掃描支援掃描 AMD64 架構、Linux 作業系統且大小小於 10 GB 的映像檔。

  1. 登入 Docker Hub

  2. 選擇 我的 Hub > 儲存庫

    您的儲存庫列表將顯示。

  3. 選擇一個儲存庫。

    儲存庫的 一般 頁面將顯示。

  4. 選擇 設定 (Settings) 頁籤。

  5. 映像檔安全性洞察設定 (Image security insight settings) 下,選擇 靜態掃描 (Static scanning)

  6. 選取「Save」。

掃描映像

若要掃描映像檔中的漏洞,請將映像檔推送至您已開啟掃描功能的 Docker Hub 儲存庫。

查看漏洞報告

若要查看漏洞報告:

  1. 登入 Docker Hub

  2. 選擇 我的 Hub > 儲存庫

    您的儲存庫列表將顯示。

  3. 選擇一個儲存庫。

    系統會顯示儲存庫的一般 (General) 頁面。漏洞報告出現在您的儲存庫中可能需要幾分鐘的時間。

    Vulnerability scan report

  4. 選擇 標籤 (Tags) 分頁,然後點擊 摘要 (Digest),接著點擊 漏洞 (Vulnerabilities) 以查看詳細的掃描報告。

    掃描報告會顯示掃描所識別出的漏洞,並依據其嚴重程度排序,最嚴重的漏洞列於最上方。報告會顯示包含漏洞的套件相關資訊、引入該漏洞的版本,以及是否在後續版本中已修復該漏洞。

    Vulnerability scan details

關於此檢視的更多資訊,請參閱 映像檔詳細檢視 (Image details view)

檢查漏洞

漏洞報告會根據漏洞的嚴重程度進行排序。它會顯示包含漏洞的套件資訊、引入該漏洞的版本,以及是否在較新的版本中已修復該漏洞。

漏洞掃描報告還允許開發團隊與安全性負責人比較各標籤之間的漏洞數量,以查看漏洞隨著時間推移是在減少還是增加。

修復漏洞

一旦識別出漏洞列表,您可以採取幾種措施來修復漏洞。例如,您可以:

  1. 在 Dockerfile 中指定更新後的基礎映像檔,檢查應用程式層級的依賴項目,重新建置 Docker 映像檔,然後將新映像檔推送至 Docker Hub。
  2. 重新建置 Docker 映像檔,在作業系統套件上執行更新指令,並將較新版本的映像檔推送至 Docker Hub。
  3. 編輯 Dockerfile 以手動移除或更新包含漏洞的特定函式庫,重新建置映像檔,然後將新映像檔推送至 Docker Hub。

Docker Scout 可為您提供具體且具備情境的修復建議,以改善映像檔安全性。更多資訊,請參閱 Docker Scout

關閉靜態漏洞掃描

儲存庫擁有者與管理員可停用儲存庫上的靜態漏洞掃描。若要停用掃描:

  1. 登入 Docker Hub

  2. 選擇 我的 Hub > 儲存庫

    您的儲存庫列表將顯示。

  3. 選擇一個儲存庫。

    儲存庫的 一般 頁面將顯示。

  4. 選擇 設定 (Settings) 頁籤。

  5. 映像檔安全性洞察設定 (Image security insight settings) 下,選擇 無 (None)

  6. 選取「Save」。

© . This site is unofficial and not affiliated with Kubernetes or Docker Inc.