镜像详情视图
镜像详情视图显示了 Docker Scout 分析的细分。您可以从 Docker Scout 控制面板、Docker Desktop 的镜像视图以及 Docker Hub 上的镜像标签页面访问镜像视图。镜像详情显示了镜像层级(基础镜像)、镜像层、软件包和漏洞的细分。
Docker Desktop 首先在本地分析镜像,在那里它会生成一个软件物料清单 (SBOM)。Docker Desktop、Docker Hub 以及 Docker Scout 控制面板和 CLI 都使用 SBOM 中的 软件包 URL (PURL) 链接,以在 Docker Scout 的安全公告数据库中查询匹配的常见漏洞和暴露 (CVE)。
镜像层级
您检查的镜像可能在镜像层级下有一个或多个基础镜像。这意味着镜像的作者在构建镜像时使用了其他镜像作为起点。通常,这些基础镜像要么是 Debian、Ubuntu 和 Alpine 等操作系统镜像,要么是 PHP、Python 和 Java 等编程语言镜像。
选择链中的每个镜像,可以查看哪些层源自每个基础镜像。选择所有行会选择所有层和基础镜像。
一个或多个基础镜像可能有可用更新,其中可能包含更新的安全补丁,可以从您的镜像中移除漏洞。任何有可用更新的基础镜像都会在镜像层级的右侧注明。
层
Docker 镜像由层组成。镜像层从上到下排列,最早的层在顶部,最新的层在底部。通常,列表顶部的层源自基础镜像,底部的层由镜像作者添加,通常使用 Dockerfile 中的命令。在镜像层级下选择一个基础镜像会突出显示源自该基础镜像的层。
选择单个或多个层会过滤右侧的软件包和漏洞,以显示所选层添加的内容。
漏洞
“漏洞”选项卡显示了镜像中检测到的漏洞和利用列表。该列表按软件包分组,并按严重性排序。
展开列表项可以找到有关漏洞或利用的更多信息,包括是否有可用的修复程序。
修复建议
当您在 Docker Desktop 或 Docker Hub 中检查镜像时,Docker Scout 可以提供改进该镜像安全性的建议。
Docker Desktop 中的建议
在 Docker Desktop 中查看镜像安全建议
- 在 Docker Desktop 中转到镜像视图。
- 选择要查看建议的镜像标签。
- 在顶部附近,选择“建议修复”下拉按钮。
下拉菜单允许您选择是查看当前镜像的建议还是用于构建它的任何基础镜像的建议
如果您正在查看的镜像没有关联的基础镜像,则下拉菜单仅显示查看当前镜像建议的选项。
Docker Hub 中的建议
在 Docker Hub 中查看镜像安全建议
转到您已激活 Docker Scout 镜像分析的镜像的存储库页面。
打开“标签”选项卡。
选择要查看建议的标签。
选择“查看建议的基础镜像修复”按钮。
这将打开一个窗口,其中包含有关如何通过使用更好的基础镜像来提高镜像安全性的建议。有关详细信息,请参阅基础镜像的建议。
当前镜像的建议
当前镜像建议视图可帮助您确定您正在使用的镜像版本是否已过时。如果您正在使用的标签引用了旧的摘要,则视图会显示更新标签的建议,方法是拉取最新版本。
选择“拉取新镜像”按钮以获取更新版本。勾选复选框以在拉取最新版本后移除旧版本。
基础镜像的建议
基础镜像建议视图包含两个选项卡,用于在不同类型的建议之间切换
- 刷新基础镜像
- 更改基础镜像
这些基础镜像建议仅在您是正在检查的镜像的作者时才可操作。这是因为更改镜像的基础镜像需要您更新 Dockerfile 并重新构建镜像。
刷新基础镜像
此选项卡显示所选基础镜像标签是否是最新可用版本,或者是否已过时。
如果用于构建当前镜像的基础镜像标签不是最新的,则此窗口中会显示两个版本之间的差异。差异信息包括
- 建议(更新)版本的标签名称和别名
- 当前基础镜像版本的年龄
- 最新可用版本的年龄
- 影响每个版本的 CVE 数量
在窗口底部,您还会收到可运行的命令片段,以便使用最新版本重新构建镜像。
更改基础镜像
此选项卡显示您可以使用的不同替代标签,并概述了每个标签版本的优点和缺点。选择基础镜像会显示该标签的建议选项。
例如,如果您正在检查的镜像使用的是旧版本的 `debian` 作为基础镜像,它会显示使用更新、更安全的 `debian` 版本的建议。通过提供多个替代选项供选择,您可以亲自查看这些选项之间的比较,并决定使用哪一个。
选择一个标签建议以查看建议的更多详细信息。它会显示该标签的优点和潜在缺点,为什么它被推荐,以及如何更新您的 Dockerfile 以使用此版本。