镜像安全洞察

使用 Docker Hub 的镜像安全性增强 Docker 镜像的安全性见解。Docker Hub 允许您执行任一时间点静态漏洞使用 Docker Scout 进行扫描或始终保持最新镜像分析。

Docker Scout 镜像分析

开启 Docker Scout 镜像分析后，Docker Scout 会自动分析 Docker Hub 存储库中的镜像。

镜像分析提取软件物料清单（SBOM）和其他镜像元数据，并根据安全公告中的漏洞数据对其进行评估。

以下部分介绍如何打开或关闭 Docker Scout 镜像分析。有关镜像分析的更多详细信息，请参阅 Docker Scout。

登录到 Docker Hub。
选择 Repositories （存储库）。
此时将显示您的存储库列表。
选择存储库。
此时将显示存储库的 General （常规）页面。
选择 Settings （设置） 选项卡。
在 Image security insight settings （镜像安全见解设置）下，选择 Docker Scout image analysis （Docker Scout 镜像分析）。
选择 Save （保存）。

注意
Docker Hub 静态漏洞扫描需要 Docker Pro、Team 或企业订阅。

开启静态后将镜像推送到 Docker Hub 仓库时扫描，Docker Hub 会自动扫描镜像以识别漏洞。扫描结果显示镜像在已运行 scan。

扫描结果包括：

从 2023 年 2 月 27 日起，Docker 更改了支持 Docker Hub 静态扫描功能。静态扫描现在由本机提供支持由 Docker 而不是第三方提供。

由于此更改，扫描现在检测到的漏洞粒度级别。这反过来意味着漏洞报告可能会显示更多的漏洞。如果您使用了漏洞扫描在 2023 年 2 月 27 日之前，您可能会看到新的漏洞报告列出了由于分析更全面，漏洞数量增加。

您无需执行任何操作。扫描将继续照常运行不会中断或更改定价。历史数据继续为可用。

存储库所有者和管理员可以启用静态漏洞扫描在存储库上。如果您是 Team 或 Business 订阅的成员，确保要启用扫描的存储库是团队的一部分或商业层。

当仓库上的扫描处于活动状态时，任何具有推送访问权限的人都可以触发扫描。

要启用静态漏洞扫描：

注意
静态漏洞扫描支持扫描 AMD64 的镜像架构、Linux 操作系统，并且大小小于 10 GB。

登录到 Docker Hub。
选择 Repositories （存储库）。
此时将显示您的存储库列表。
选择存储库。
此时将显示存储库的 General （常规）页面。
选择 Settings （设置） 选项卡。
在 Image security insight settings （镜像安全见解设置）下，选择 Static scanning （静态扫描）。
选择 Save （保存）。

要扫描镜像中的漏洞，请将镜像推送到 Docker Hub 的已为其开启扫描的存储库。

要查看漏洞报告：

登录到 Docker Hub。
选择 Repositories （存储库）。
此时将显示您的存储库列表。
选择存储库。
此时将显示存储库的 General （常规）页面。漏洞报告可能需要几分钟时间才能显示在您的存储库。
选择 Tags （标签）选项卡，然后选择 Digest （摘要），然后选择 Vulnerabilities （漏洞）以查看详细的扫描报告。
扫描报告显示扫描识别的漏洞，并对其进行排序根据其严重性，最高严重性列在顶部。它显示有关包含漏洞的软件包的信息，则版本，以及漏洞是否在更高版本。

有关此视图的更多信息，请参阅镜像详细信息视图。

漏洞报告根据漏洞的严重性对漏洞进行排序。它显示有关包含漏洞的软件包的信息，则引入漏洞的版本，以及漏洞是否已修复在以后的版本中。

漏洞扫描报告还允许开发团队和安全主管比较不同标签的漏洞计数，以查看漏洞会随着时间的推移而减少或增加。

一旦确定了漏洞列表，就会有几个您可以采取的措施来修复漏洞。例如，您可以：

Docker Scout 可以为您提供具体的上下文修复步骤提高镜像安全性。有关更多信息，请参阅 Docker Scout。

存储库所有者和管理员可以禁用静态漏洞扫描在存储库上。要禁用扫描：