管理漏洞例外

目录

容器镜像中发现的漏洞有时需要额外的上下文信息。仅仅因为镜像包含易受攻击的软件包,并不意味着该漏洞是可利用的。Docker Scout 中的**例外**功能允许您确认已接受的风险或处理镜像分析中的误报。

通过忽略不适用的漏洞,您可以更轻松地让您自己和镜像的下游使用者理解漏洞在镜像上下文中的安全影响。

在 Docker Scout 中,例外会自动计入结果。如果镜像包含将 CVE 标记为不适用的例外,则该 CVE 将从分析结果中排除。

创建例外

要为镜像创建例外,您可以:

  • 在 Docker Scout Dashboard 或 Docker Desktop 的GUI 中创建例外。
  • 创建 VEX 文档并将其附加到镜像。

创建例外的推荐方法是使用 Docker Scout Dashboard 或 Docker Desktop。GUI 提供了用户友好的界面来创建例外。它还允许您一次为多个镜像或整个组织创建例外。

查看例外

要查看镜像的例外,您需要拥有适当的权限。

  • 使用 GUI 创建的例外对您的 Docker 组织成员可见。未经验证的用户或非组织成员的用户无法看到这些例外。
  • 使用 VEX 文档 创建的例外对任何可以拉取镜像的用户可见,因为 VEX 文档存储在镜像清单或镜像的文件系统中。

在 Docker Scout Dashboard 或 Docker Desktop 中查看例外

Docker Scout Dashboard 中漏洞页面的**例外**选项卡列出了组织中所有镜像的所有例外。从这里,您可以查看每个例外的更多详细信息、被抑制的 CVE、例外适用的镜像、例外的类型以及它是如何创建的等等。

对于使用 GUI 创建的例外,选择操作菜单允许您编辑或删除例外。

要查看特定镜像标签的所有例外

  1. 转到镜像页面
  2. 选择您要检查的标签。
  3. 打开**例外**选项卡。
  1. 在 Docker Desktop 中打开**镜像**视图。
  2. 打开**Hub**选项卡。
  3. 选择您要检查的标签。
  4. 打开**例外**选项卡。

在 CLI 中查看例外

可用性: 实验性
要求: Docker Scout CLI 1.15.0 及更高版本

当您运行 docker scout cves <image> 时,漏洞例外会在 CLI 中突出显示。如果某个 CVE 被例外抑制,则 CVE ID 旁边会显示 SUPPRESSED 标签。还会显示例外的详细信息。

SUPPRESSED label in the CLI output
重要

为了在 CLI 中查看例外,您必须将 CLI 配置为使用您创建例外时使用的同一个 Docker 组织。

要为 CLI 配置组织,请运行

$ docker scout configure organization <organization>

<organization> 替换为您的 Docker 组织的名称。

您还可以通过使用 --org 标志为每个命令设置组织。

$ docker scout cves --org <organization> <image>

要从输出中排除被抑制的 CVE,请使用 --ignore-suppressed 标志

$ docker scout cves --ignore-suppressed <image>
© . This site is unofficial and not affiliated with Kubernetes or Docker Inc.