Docker Scout 中的資料收集與儲存

目錄

Docker Scout 的映像檔分析是透過收集您所分析之容器映像檔的元數據來運作的。這些元數據會儲存在 Docker Scout 平台上。

資料傳輸

本節描述 Docker Scout 收集並傳送至該平台的資料。

映像檔元數據

Docker Scout 收集以下映像檔元數據:

  • 映像檔建立時間戳記
  • 映像檔摘要 (Digest)
  • 映像檔公開的連接埠
  • 環境變數名稱與值
  • 映像檔標籤的名稱與值
  • 映像檔層的順序
  • 硬體架構
  • 作業系統類型與版本
  • 登錄檔 (Registry) URL 與類型

當映像檔被建置並推送到登錄檔時,會為映像檔的每一層建立映像檔摘要。這些摘要是該層內容的 SHA256 雜湊值。Docker Scout 並不會建立這些摘要;它們是直接從映像檔清單 (Manifest) 中讀取的。

這些摘要會與您自己的私有映像檔以及 Docker 的公開映像檔資料庫進行比對,以識別共用相同層的映像檔。共用最多層的映像檔會被視為當前正在分析之映像檔的基礎映像檔 (Base Image) 比對對象。

SBOM 元數據

軟體材料清單 (SBOM) 元數據用於將套件類型與版本與漏洞資料進行比對,以推斷映像檔是否受到影響。當 Docker Scout 平台從安全諮詢收到關於新 CVE 或其他風險因素(例如洩漏的機密)的資訊時,它會將此資訊與 SBOM 進行交叉參照。如果比對成功,Docker Scout 會在呈現 Docker Scout 資料的使用者介面中顯示結果,例如 Docker Scout 儀表板和 Docker Desktop。

Docker Scout 收集以下 SBOM 元數據:

  • 套件 URL (PURL)
  • 套件作者與描述
  • 授權 ID
  • 套件名稱與命名空間
  • 套件方案與大小
  • 套件類型與版本
  • 映像檔內的檔案路徑
  • 直接相依性的類型
  • 套件總數

Docker Scout 中的 PURL 遵循 purl-spec 規範。套件資訊衍生自映像檔的內容,包括作業系統層級的程式與套件,以及應用程式層級的套件(如 maven、npm 等)。

環境元數據

如果您透過 Sysdig 整合將 Docker Scout 與您的執行環境整合,Docker Scout 會收集關於您部署項目的以下資料點:

  • Kubernetes 命名空間
  • 工作負載名稱
  • 工作負載類型(例如 DaemonSet)

本地分析

對於在開發者機器上進行本地分析的映像檔,Docker Scout 僅傳輸 PURL 和層摘要。此資料不會永久儲存在 Docker Scout 平台上;它僅用於執行分析。

來源證明 (Provenance)

對於具有 來源證明 (provenance attestations) 的映像檔,Docker Scout 除了 SBOM 之外還會儲存以下資料:

  • 材料 (Materials)
  • 基礎映像檔
  • 版本控制系統 (VCS) 資訊
  • Dockerfile

資料儲存

基於提供 Docker Scout 服務的目的,資料會儲存在:

  • 位於美國東部伺服器的 Amazon Web Services (AWS)
  • 位於美國東部伺服器的 Google Cloud Platform (GCP)

資料的使用方式遵循 docker.com/legal 中描述的程序,以提供 Docker Scout 的關鍵功能。

© . This site is unofficial and not affiliated with Kubernetes or Docker Inc.