使用 Docker Scout 进行修复
Docker Scout 通过根据策略评估结果提供建议来帮助您修复供应链或安全问题。建议是指您可以采取的改进策略合规性或向镜像添加元数据以使 Docker Scout 能够提供更好的评估结果和建议的建议操作。
Docker Scout 为以下策略类型的默认策略提供修复建议
注意自定义策略不支持引导式修复。
对于违反策略的镜像,建议侧重于解决合规性问题和修复违规。对于 Docker Scout 无法确定合规性的镜像,建议会向您展示如何满足先决条件,以确保 Docker Scout 能够成功评估策略。
查看建议
建议会显示在 Docker Scout 控制台的策略详情页面上。要访问此页面:
- 前往 Docker Scout 控制台中的策略页面。
- 选择列表中的一个策略。
策略详情页面根据策略状态将评估结果分为两个不同的选项卡
- 违规
- 合规性未知
“违规”选项卡列出了不符合所选策略的镜像。“合规性未知”选项卡列出了 Docker Scout 无法确定合规状态的镜像。当合规性未知时,Docker Scout 需要更多关于镜像的信息。
要查看镜像的建议操作,请将鼠标悬停在列表中的一个镜像上,以显示“查看修复”按钮。
选择“查看修复”按钮,将打开包含镜像建议操作的修复侧边栏。
如果有多个建议可用,则主要建议显示为“推荐修复”。其他建议列为“快速修复”。快速修复通常是提供临时解决方案的操作。
侧边栏还可能包含一个或多个与可用建议相关的帮助部分。
最新基础镜像修复
“最新基础镜像”策略检查您使用的基础镜像是否最新。修复侧边栏中显示建议操作取决于 Docker Scout 拥有关于您的镜像的信息量。信息越详细,建议越好。
以下场景概述了根据镜像可用信息提供的不同建议。
无来源证明
要使 Docker Scout 能够评估此策略,您必须为镜像添加来源证明。如果您的镜像没有来源证明,则合规性无法确定。
可用来源证明
添加来源证明后,Docker Scout 可以正确检测您正在使用的基础镜像版本。证明中找到的版本将与相应标签的当前版本进行交叉引用,以确定其是否最新。
如果存在策略违规,建议操作会显示如何将您的基础镜像版本更新到最新版本,同时将基础镜像版本固定到特定摘要。有关更多信息,请参阅固定基础镜像版本。
GitHub 集成已启用
如果您在 GitHub 上托管镜像的源代码,您可以启用GitHub 集成。此集成使 Docker Scout 能够提供更有用的修复建议,并允许您直接从 Docker Scout 控制面板启动违规修复。
启用 GitHub 集成后,您可以使用修复侧面板在镜像的 GitHub 存储库上发起拉取请求。拉取请求会自动将 Dockerfile 中的基础镜像版本更新到最新版本。
这种自动化修复会将您的基础镜像固定到特定摘要,同时帮助您在新版本可用时保持最新。将基础镜像固定到摘要对于可重现性非常重要,并有助于避免不必要的更改进入您的供应链。
有关基础镜像固定的更多信息,请参阅固定基础镜像版本。
供应链证明修复
默认的“供应链证明”策略要求镜像具有完整的来源和 SBOM 证明。如果您的镜像缺少证明,或者证明包含的信息不足,则该策略将被违反。
修复侧面板中提供的建议有助于指导您采取哪些行动来解决这些问题。例如,如果您的镜像具有来源证明,但证明包含的信息不足,建议您使用mode=max来源重建您的镜像。