Docker Scout 健康评分
Docker Scout 健康评分对 Docker Hub 上的镜像提供安全评估和整体供应链健康状况评估,帮助您确定镜像是否符合既定的安全最佳实践。评分范围从 A 到 F,其中 A 代表最高安全级别,F 代表最低安全级别,提供镜像安全状况的即时视图。
只有拥有仓库所有权的组织成员,并且对仓库至少具有“读取”权限的用户才能查看健康评分。组织外部用户或没有“读取”权限的成员无法看到此评分。
查看健康评分
在 Docker Hub 中查看镜像的健康评分
- 前往 Docker Hub 并登录。
- 导航到您组织的页面。
在仓库列表中,您可以根据最新推送的标签查看每个仓库的健康评分。
在 Docker Desktop 中查看镜像的健康评分
- 打开 Docker Desktop 并登录您的 Docker 账户。
- 导航到**镜像**视图并选择**Hub**选项卡。
在仓库列表中,**健康**列显示已推送到 Docker Hub 的不同标签的评分。
健康评分徽章通过颜色编码指示仓库的整体健康状况
- 绿色:A 或 B 评分。
- 黄色:C 评分。
- 橙色:D 评分。
- 红色:E 或 F 评分。
- 灰色:`N/A` 评分。
该评分也显示在 Docker Hub 上给定仓库的页面上,同时显示所有构成该评分的策略。
评分系统
健康评分通过根据 Docker Scout 策略评估镜像来确定。这些策略与软件供应链的最佳实践相符。
如果您的镜像仓库已注册 Docker Scout,健康评分将根据您组织启用的策略自动计算。这还包括您配置的任何自定义策略。
如果您不使用 Docker Scout,健康评分将显示您的镜像与默认策略的合规性,这是一组 Docker 推荐的作为镜像基础标准的供应链规则。您可以为您的组织启用 Docker Scout,并编辑策略配置,以根据您的特定策略获得更相关的健康评分。
评分过程
每个策略根据其类型被分配一个分值。如果镜像符合某个策略,则会获得该策略类型的分值。镜像的健康评分是根据相对于总可能分值的已获得分值百分比计算的。
评估镜像的策略合规性。
根据策略合规性进行评分。
计算获得的积分百分比。
Percentage = (Points / Total) * 100最终评分根据所获积分的百分比确定,如下表所示
积分百分比(占总分的比例) 评分 超过 90% A 71% 到 90% B 51% 到 70% C 31% 到 50% D 11% 到 30% E 低于 10% F
不适用评分
镜像也可以被分配一个“N/A”分数,这可能发生在以下情况:
- 镜像大小超过 4GB(压缩后)。
- 镜像架构不是 `linux/amd64` 或 `linux/arm64`。
- 镜像过旧,没有新的评估数据。
如果您看到 `N/A` 评分,请考虑以下事项:
- 如果镜像过大,请尝试减小镜像大小。
- 如果镜像具有不支持的架构,请为支持的架构重新构建镜像。
- 如果镜像过旧,请推送新标签以触发重新评估。
策略权重
不同策略类型具有不同的权重,这会影响评估期间分配给镜像的分数,如下表所示。
* 此策略默认未启用,必须由用户配置。
评估
健康评分是针对启用该功能后推送到 Docker Hub 的新镜像计算的。健康评分有助于您保持高安全标准,并确保您的应用程序构建在安全可靠的镜像上。
仓库评分
除了单个镜像评分(按标签或摘要)外,每个仓库都会根据最新推送的标签获得健康评分,提供仓库安全状态的整体视图。
示例
对于总分可能为 100 分的镜像
- 如果镜像仅偏离一项价值 5 分的策略,其得分为 100 分中的 95 分。由于此分数高于 90 分位,因此该镜像获得 A 的健康评分。
- 如果镜像不符合更多策略并获得 100 分中的 65 分,则它会获得 C 的健康评分,反映其较低的合规性。
提高您的健康评分
要提高镜像的健康评分,请采取措施确保镜像符合 Docker Scout 推荐的策略。
- 前往Docker Scout 控制面板。
- 使用您的 Docker ID 登录。
- 转到仓库设置,并为您的 Docker Hub 镜像仓库启用 Docker Scout。
- 分析您的仓库的策略合规性,并采取措施确保您的镜像符合策略。
由于策略的权重不同,请优先处理分数最高的策略,以对镜像的整体分数产生更大的影响。