管理弱點例外狀況

目錄

容器映像中發現的漏洞有時需要額外的背景資訊。僅僅因為映像包含易受攻擊的套件,並不代表該漏洞可被利用。Docker Scout 中的例外 (Exceptions) 讓您可以確認已接受的風險,或處理映像分析中的誤報。

透過排除不適用的漏洞,您可以讓自己以及映像的下游使用者更容易理解在特定映像環境中,漏洞所帶來的安全性影響。

在 Docker Scout 中,例外會自動納入結果。如果映像包含將 CVE 標記為不適用的例外,則該 CVE 將從分析結果中排除。

建立例外

若要為映像建立例外,您可以:

  • 在 Docker Scout 儀表板或 Docker Desktop 的 GUI 中建立例外。
  • 建立 VEX 文件並將其附加至映像。

建立例外的推薦方式是使用 Docker Scout 儀表板或 Docker Desktop。GUI 為建立例外提供了使用者友善的介面。它還允許您一次為多個映像或整個組織建立例外。

檢視例外

若要檢視映像的例外,您必須擁有適當的權限。

  • 使用 GUI 建立的例外,對您的 Docker 組織成員可見。未經身份驗證的使用者或非您組織成員的使用者無法看到這些例外。
  • 使用 VEX 文件 建立的例外,對任何可以拉取該映像的人都可見,因為 VEX 文件儲存在映像資訊清單或映像的檔案系統中。

在 Docker Scout 儀表板或 Docker Desktop 中檢視例外

Docker Scout 儀表板中漏洞頁面的 例外 (Exceptions) 標籤頁列出了您組織中所有映像的所有例外。從這裡,您可以查看每個例外的更多詳細資訊、被抑制的 CVE、例外適用的映像、例外類型及其建立方式等。

對於使用 GUI 建立的例外,選擇操作選單即可編輯或移除該例外。

若要檢視特定映像標籤的所有例外:

  1. 前往 映像 (Images) 頁面
  2. 選擇您要檢查的標籤。
  3. 開啟 例外 (Exceptions) 標籤頁。
  1. 在 Docker Desktop 中開啟 映像 (Images) 視圖。
  2. 開啟 Hub 標籤頁。
  3. 選擇您要檢查的標籤。
  4. 開啟 例外 (Exceptions) 標籤頁。

在 CLI 中檢視例外

可用性: 實驗性功能
要求: Docker Scout CLI 1.15.0 或更高版本

當您執行 docker scout cves <image> 時,漏洞例外會在 CLI 中被強調顯示。如果 CVE 被例外抑制,CVE ID 旁邊會出現一個 SUPPRESSED(已抑制)標籤。系統亦會顯示關於該例外的詳細資訊。

SUPPRESSED label in the CLI output
重要

為了在 CLI 中檢視例外,您必須將 CLI 設定為使用您建立例外時所使用的同一個 Docker 組織。

若要為 CLI 設定組織,請執行:

$ docker scout configure organization <organization>

<organization> 取代為您的 Docker 組織名稱。

您也可以透過使用 --org 旗標,按個別指令設定組織:

$ docker scout cves --org <organization> <image>

若要從輸出中排除已抑制的 CVE,請使用 --ignore-suppressed 旗標:

$ docker scout cves --ignore-suppressed <image>
© . This site is unofficial and not affiliated with Kubernetes or Docker Inc.