管理漏洞例外
容器镜像中发现的漏洞有时需要额外的上下文信息。 即使镜像中包含存在漏洞的软件包,也不意味着该漏洞可被利用。例外功能(Exceptions)可帮助您在 Docker Scout 中确认已接受的风险或处理镜像分析中的误报问题。
通过排除不适用的漏洞,您可以使自身以及镜像的下游使用者更易于理解某漏洞在特定镜像上下文中的安全影响。
在 Docker Scout 中,例外项会自动纳入结果考量。 如果某个镜像包含一个将某 CVE 标记为不适用的例外项, 则该 CVE 将被排除于分析结果之外。
创建异常
要为镜像创建例外,您可以:
- 在 Docker Scout 仪表板或 Docker Desktop 的 图形用户界面(GUI)中创建一个异常。
- 创建一个 VEX 文档并将其附加到镜像。
推荐使用 Docker Scout 仪表板或 Docker Desktop 创建异常。图形界面提供了直观易用的界面来创建异常, 还支持一次性为多个镜像或整个组织创建异常。
查看异常
要查看镜像的例外情况,您需要具备相应的权限。
- 通过图形界面(GUI)创建的异常 对您Docker组织的成员可见。未经身份验证的用户或不属于您组织的用户无法查看这些异常。
- 通过 VEX 文档创建的 异常说明 对任何能够拉取该镜像的用户都是可见的,因为 VEX 文档存储在镜像清单中或镜像的文件系统中。
在 Docker Scout 仪表板或 Docker Desktop 中查看异常
Docker Scout 仪表板中“漏洞”页面的 例外标签页 列出了您组织内所有镜像的全部例外情况。在此页面,您可以查看每项例外的详细信息,包括被抑制的 CVE 编号、适用的镜像、例外类型及其创建方式等。
对于使用 图形界面(GUI) 创建的异常,选择操作菜单可对其进行编辑或删除。
要查看特定镜像标签的所有异常:
在命令行界面中查看异常
实验性
在 CLI 中查看异常是一项实验性功能。 它需要安装最新版本的 Docker Scout CLI 插件。 部分异常可能无法在 CLI 中正确显示。
在运行 docker scout cves <image> 时,漏洞例外会在 CLI 中高亮显示。如果 CVE 被例外抑制,CVE ID 旁边会出现一个 SUPPRESSED 标签。有关例外的详细信息也会显示。
重要
为了在 CLI 中查看例外情况,您必须将 CLI 配置为使用您创建例外情况时所用的同一 Docker 组织。
要为 CLI 配置组织,请运行:
$ docker scout configure organization <organization>将
<organization>替换为您的 Docker 组织名称。您也可以通过使用
--org标志在每次命令的基础上设置组织:$ docker scout cves --org <organization> <image>
要在输出中排除已抑制的 CVE,请使用 --ignore-suppressed 标志:
$ docker scout cves --ignore-suppressed <image>