使用 Docker Scout 進行修復
Docker Scout 透過提供基於策略評估結果的建議,協助您修復供應鏈或安全性問題。建議內容包含您可以採取的行動,以提升策略合規性,或為映像檔添加後設資料,使 Docker Scout 能夠提供更佳的評估結果與建議。
Docker Scout 為下列策略類型的預設策略提供修復建議
注意自訂策略不支援引導式修復。
針對違反策略的映像檔,建議重點在於解決合規性問題及修正違規項目。對於 Docker Scout 無法判斷合規性的映像檔,建議內容會引導您完成先決條件,以確保 Docker Scout 能成功評估該策略。
檢視建議
建議會顯示在 Docker Scout 儀表板的策略詳細資訊頁面上。要前往此頁面,請:
- 前往 Docker Scout 儀表板中的 「策略」頁面。
- 在清單中選擇一項策略。
策略詳細資訊頁面會根據策略狀態,將評估結果分為兩個不同的標籤頁:
- 違規項目
- 合規性不明
「違規項目」標籤頁列出了不符合所選策略的映像檔。「合規性不明」標籤頁列出了 Docker Scout 無法判斷合規性狀態的映像檔。當合規性不明時,Docker Scout 需要有關該映像檔的更多資訊。
若要查看映像檔的建議行動,請將滑鼠懸停在清單中的某個映像檔上,以顯示「檢視修正 (View fixes)」按鈕。
選擇「檢視修正」按鈕,開啟包含映像檔建議行動的修復側邊面板。
如果有超過一項以上的建議,主要的建議會顯示為「推薦修正 (Recommended fix)」。其他建議則列為「快速修復 (Quick fixes)」。快速修復通常是指提供暫時性解決方案的行動。
側邊面板也可能包含一或多個與可用建議相關的說明章節。
更新基礎映像檔修復
「更新基礎映像檔 (Up-to-Date Base Images)」策略會檢查您使用的基礎映像檔是否為最新版本。修復側邊面板中顯示的建議行動,取決於 Docker Scout 對您的映像檔掌握了多少資訊。可用的資訊越多,建議就越精準。
下列情境概述了根據映像檔可用資訊所提出的不同建議。
無來源證明 (Provenance attestations)
為了讓 Docker Scout 能夠評估此策略,您必須為映像檔添加 來源證明 (provenance attestations)。如果您的映像檔沒有來源證明,則無法判定合規性。
已有來源證明可用
在新增來源證明後,Docker Scout 就能正確偵測您使用的基礎映像檔版本。證明中發現的版本會與對應標籤的當前版本進行交叉比對,以判定其是否為最新狀態。
如果出現策略違規,建議行動會顯示如何將您的基礎映像檔版本更新至最新版本,同時將基礎映像檔版本釘選 (pin) 至特定的摘要 (digest)。欲知詳情,請參閱 釘選基礎映像檔版本。
已啟用 GitHub 整合
如果您在 GitHub 上託管映像檔的原始程式碼,可以啟用 GitHub 整合。此整合使 Docker Scout 能夠提供更有用的修復建議,並讓您直接從 Docker Scout 儀表板啟動違規修復。
啟用 GitHub 整合後,您可以使用修復側邊面板在映像檔的 GitHub 儲存庫上發起提取請求 (pull request)。該提取請求會自動將 Dockerfile 中的基礎映像檔版本更新為最新版本。
此自動化修復將您的基礎映像檔釘選至特定摘要,同時協助您在新版本發佈時保持更新。將基礎映像檔釘選至摘要對於可重現性至關重要,並有助於防止未經授權的變更進入您的供應鏈。
有關基礎映像檔釘選的更多資訊,請參閱 釘選基礎映像檔版本。
供應鏈證明修復
預設的「供應鏈證明 (Supply Chain Attestations)」策略要求映像檔具備完整的來源證明與 SBOM 證明。如果您的映像檔缺少證明,或者證明內容資訊不足,則會違反該策略。
修復側邊面板中提供的建議有助於引導您採取必要行動以解決問題。例如,如果您的映像檔已有來源證明,但證明內容資訊不足,建議您使用 mode=max 來源證明重新建置您的映像檔。