Docker Scout 发布说明
本页面包含有关 Docker Scout 版本中的新功能、改进、已知问题和错误修复的信息。这些发布说明涵盖 Docker Scout 平台,包括 Dashboard。有关 CLI 发布说明,请参阅Docker Scout CLI 发布说明。
2024 年第四季度
2024 年第四季度发布的新功能和增强功能。
2024-10-09
策略评估已从早期访问阶段毕业并进入通用可用性阶段。
Docker Scout Dashboard UI 更改
- 在 Docker Scout Dashboard 中,选择策略卡现在会打开策略详细信息页面,而不是策略结果页面。
- 策略结果页面和策略详细信息侧边栏现在是只读的。策略操作(编辑、禁用、删除)现在可从策略详细信息页面访问。
2024 年第三季度
2024 年第三季度发布的新功能和增强功能。
2024-09-30
在此版本中,我们更改了自定义策略的工作方式。以前,自定义策略是通过复制现成策略来创建的。现在,您可以通过编辑作为模板的“策略类型”中的默认策略来定制策略。Docker Scout 中的默认策略也基于这些类型实现。
有关更多信息,请参阅策略类型。
2024-09-09
此版本更改了 Docker Scout 中健康评分的计算方式。健康评分计算现在会考虑您为组织配置的可选和自定义策略。
这意味着,如果您已启用、禁用或自定义任何默认策略,Docker Scout 现在将在计算组织映像的健康评分时考虑这些策略。
如果您尚未为组织启用 Docker Scout,健康评分计算将基于现成策略。
2024-08-13
此版本更改了现成策略,以与用于评估 Docker Scout健康评分的策略配置保持一致。
现在默认的现成策略是:
- 无高危漏洞
- 无可修复的严重或高危漏洞
- 批准的基础镜像
- 默认非 root 用户
- 供应链证明
- 最新基础镜像
- 无 AGPL v3 许可证
这些策略的配置现在与用于计算健康评分的配置相同。以前,现成策略的配置与健康评分策略的配置不同。
2024 年第二季度
2024 年第二季度发布的新功能和增强功能。
2024-06-27
此版本在 Docker Scout Dashboard 中引入了对**异常**的初步支持。异常允许您使用 VEX 文档来抑制在映像中发现的漏洞(误报)。将 VEX 文档作为证明附加到映像,或将其嵌入到映像文件系统中,Docker Scout 将自动检测并将 VEX 语句合并到映像分析结果中。
新的异常页面列出了影响组织中所有映像的异常。您还可以转到 Docker Scout Dashboard 中的映像视图,查看适用于给定映像的所有异常。
有关更多信息,请参阅管理漏洞异常。
2024-05-06
新的 HTTP 端点,允许您使用 Prometheus 从 Docker Scout 抓取数据,以使用 Grafana 创建自己的漏洞和策略仪表板。有关更多信息,请参阅Docker Scout 指标导出器。
2024 年第一季度
2024 年第一季度发布的新功能和增强功能。
2024-03-29
“无高危漏洞”策略现在报告 `xz` 后门漏洞 CVE-2024-3094。Docker 组织中包含带后门的 `xz/liblzma` 版本的任何映像都将不符合“无高危漏洞”策略。
2024-03-20
“无可修复的关键或高危漏洞”策略现在支持“仅限可修复漏洞”配置选项,允许您决定是否仅标记具有可用修复版本的漏洞。
2024-03-14
“所有关键漏洞”策略已删除。“无可修复的关键或高危漏洞”策略提供了类似的功能,未来将进行更新以允许更广泛的自定义,从而使现在已删除的“所有关键漏洞”策略变得多余。
2024-01-26
Azure Container Registry 集成已从早期访问阶段毕业并进入通用可用性阶段。
有关更多信息和设置说明,请参阅集成 Azure Container Registry。
2024-01-23
新增“已批准的基础镜像”策略,允许您限制在构建中允许的基础镜像。您使用模式定义允许的基础镜像。基础镜像的镜像引用与指定模式不匹配将导致策略失败。
2024-01-12
新增“默认非 root 用户”策略,该策略会标记默认情况下以具有完整系统管理权限的 `root` 超级用户身份运行的镜像。为您的镜像指定非 root 默认用户有助于增强运行时安全性。
2024-01-11
Beta 发布了新的 GitHub 应用程序,用于将 Docker Scout 与您的源代码管理集成,以及一个用于帮助您提高策略合规性的修复功能。
修复是 Docker Scout 的一项新功能,可根据策略评估结果提供情境化的推荐操作,以帮助您提高合规性。
GitHub 集成增强了修复功能。启用集成后,Docker Scout 能够将分析结果连接到源代码。关于您的镜像如何构建的这个额外上下文用于生成更好、更精确的推荐。
有关 Docker Scout 可以提供哪些类型的建议来帮助您提高策略合规性的更多信息,请参阅修复。
有关如何在您的源代码存储库上授权 Docker Scout GitHub 应用程序的更多信息,请参阅将 Docker Scout 与 GitHub 集成。
2023 年第四季度
2023 年第四季度发布的新功能和增强功能。
2023-12-20
Azure Container Registry 集成已从Beta 阶段毕业并进入早期访问阶段。
有关更多信息和设置说明,请参阅集成 Azure Container Registry。
2023-12-06
新的 SonarQube 集成及相关策略。SonarQube 是一个用于持续检查代码质量的开源平台。此集成允许您将 SonarQube 的质量门作为 Docker Scout 中的策略评估添加。启用集成,推送您的镜像,并在新的 SonarQube 质量门通过 策略中查看 SonarQube 质量门条件。
2023-12-01
新的 Azure Container Registry (ACR) 集成 Beta 版发布,该集成允许 Docker Scout 自动拉取和分析 ACR 存储库中的镜像。
要了解有关集成以及如何入门的更多信息,请参阅集成 Azure Container Registry。
2023-11-21
新的可配置策略功能,可让您根据偏好调整现有策略,或者如果它们不完全符合您的需求,则可以完全禁用它们。您可以根据组织需求调整策略的一些示例包括:
- 更改漏洞相关策略使用的严重性阈值
- 自定义“高危漏洞”列表
- 添加或删除要标记为“Copyleft”的软件许可证
有关更多信息,请参阅可配置策略。
2023-11-10
新增**供应链证明**策略,用于帮助您跟踪镜像是否通过 SBOM 和来源证明进行构建。向镜像添加证明是改进供应链行为的第一步,通常是进行更多操作的先决条件。
2023-11-01
新增“**无高危漏洞**”策略,确保您的工件不含公认的高风险漏洞列表。
2023-10-04
这标志着 Docker Scout 的通用可用性 (GA) 版本。
此版本包含以下新功能:
策略评估
策略评估是一项早期访问功能,可帮助您确保软件完整性并随着时间推移跟踪工件的状况。此版本附带四种现成策略,默认情况下为所有组织启用。
- 基础镜像未及时更新评估基础镜像是否已过时,需要更新。及时更新的基础镜像有助于您确保环境的可靠性和安全性。
- 带有修复的关键和高危漏洞报告您的映像中是否存在关键或高危漏洞,以及是否有可用的修复版本可供您升级。
- 所有关键漏洞寻找您的映像中发现的任何关键严重性漏洞。
- 带有 AGPLv3、GPLv3 许可证的包可帮助您发现映像中使用的可能不需要的 copyleft 许可证。
您可以使用 Docker Scout Dashboard 和 `docker scout policy` CLI 命令查看和评估镜像的策略状态。有关更多信息,请参阅策略评估文档。
Amazon ECR 集成
新的 Amazon Elastic Container Registry (ECR) 集成为托管在 ECR 存储库中的镜像启用镜像分析。
您可以使用预配置的 CloudFormation 堆栈模板设置集成,该模板会引导您账户中所需的 AWS 资源。Docker Scout 会自动分析您推送到注册表的镜像,只存储有关镜像内容的元数据,而不存储容器镜像本身。
该集成提供了一个直接的过程,用于添加额外的存储库,为特定存储库激活 Docker Scout,并在需要时删除集成。要了解更多信息,请参阅Amazon ECR 集成文档。
Sysdig 集成
新的 Sysdig 集成为您的 Kubernetes 运行时环境提供实时安全洞察。
启用此集成有助于您解决和优先处理用于运行生产工作负载的镜像的风险。它还可以通过使用 VEX 文档自动排除从不加载到内存中的程序中的漏洞来减少监控噪音。
有关更多信息和入门,请参阅Sysdig 集成文档。
JFrog Artifactory 集成
新的 JFrog Artifactory 集成可在 Artifactory 注册表上实现自动镜像分析。
该集成涉及部署一个 Docker Scout Artifactory 代理,该代理会轮询新镜像,执行分析,并将结果上传到 Docker Scout,同时保持镜像数据的完整性。
已知限制
- 镜像分析仅适用于 Linux 镜像
- Docker Scout 无法处理压缩大小超过 12GB 的镜像
- 创建镜像 SBOM(镜像分析的一部分)的超时限制为 4 分钟