咨询数据库来源和匹配服务
可靠的信息源对于 Docker Scout 评估软件工件相关性和准确性的能力至关重要。鉴于行业内来源和方法的多样性,漏洞评估结果中出现差异在所难免。本页面描述了 Docker Scout 咨询数据库及其 CVE 到软件包匹配方法如何处理这些差异。
咨询数据库来源
Docker Scout 从多个来源聚合漏洞数据。数据会持续更新,以确保您的安全态势实时反映最新可用信息。
Docker Scout 使用以下软件包仓库和安全跟踪器
- AlmaLinux 安全咨询
- Alpine secdb
- Amazon Linux 安全中心
- Bitnami 漏洞数据库
- CISA 已知漏洞利用目录
- CISA 漏洞丰富
- Chainguard 安全源
- Debian 安全漏洞跟踪器
- 漏洞利用预测评分系统 (EPSS)
- GitHub 咨询数据库
- GitLab 咨询数据库
- Golang VulnDB
- 国家漏洞数据库
- Oracle Linux 安全
- Photon OS 3.0 安全咨询
- Python 打包咨询数据库
- RedHat 安全数据
- Rocky Linux 安全咨询
- RustSec 咨询数据库
- SUSE 安全 CVRF
- Ubuntu CVE 跟踪器
- Wolfi 安全源
- inTheWild,一个社区驱动的漏洞利用开放数据库
当您为 Docker 组织启用 Docker Scout 时,Docker Scout 平台会配置一个新的数据库实例。该数据库存储您的镜像的软件物料清单 (SBOM) 和其他元数据。当安全咨询有关于漏洞的新信息时,您的 SBOM 会与 CVE 信息进行交叉引用,以检测它如何影响您。
有关镜像分析工作原理的更多详细信息,请参阅镜像分析页面。
严重性和评分优先级
Docker Scout 在确定 CVE 的严重性和评分时遵循两个主要原则
- 来源优先级
- CVSS 版本偏好
对于来源优先级,Docker Scout 遵循以下顺序
供应商咨询:Scout 始终使用与软件包和版本匹配的来源的严重性和评分数据。例如,Debian 软件包的 Debian 数据。
NIST 评分数据:如果供应商未提供 CVE 的评分数据,Scout 会回退到 NIST 评分数据。
对于 CVSS 版本偏好,一旦 Scout 选择了一个来源,如果同时存在 CVSS v4 和 v3,它会优先选择 v4,因为 v4 是更现代、更精确的评分模型。
漏洞匹配
传统工具通常依赖于广泛的通用产品枚举 (CPE) 匹配,这可能导致许多误报结果。
Docker Scout 使用软件包 URL (PURLs) 将软件包与 CVE 进行匹配,从而更精确地识别漏洞。PURLs 显著降低了误报的可能性,仅关注真正受影响的软件包。
支持的软件包生态系统
Docker Scout 支持以下软件包生态系统
- .NET
- GitHub 软件包
- Go
- Java
- JavaScript
- PHP
- Python
- RPM
- Ruby
alpm(Arch Linux)apk(Alpine Linux)deb(Debian Linux 及其衍生版)