管理漏洞异常

在容器镜像中发现的漏洞有时需要额外的上下文。仅仅因为镜像包含易受攻击的软件包，并不意味着漏洞是可利用的。Docker Scout 中的异常允许您承认已接受的风险或解决镜像分析中的误报。

通过消除不适用的漏洞，您可以让自己更轻松以及镜像的下游使用者，以了解安全隐患镜像上下文中的漏洞。

在 Docker Scout 中，异常会自动计入结果。如果镜像包含将 CVE 标记为不适用的异常，，则该 CVE 将从分析结果中排除。

创建例外

要为镜像创建例外，您可以：

在 GUI 中创建 Docker Scout Dashboard 或 Docker Desktop。
创建 VEX 文档并附加它到镜像。

创建异常的推荐方法是使用 Docker Scout Dashboard 或 Docker 桌面。GUI 提供了一个用户友好的界面，用于创建异常。它还允许您为多个镜像创建例外，或者整个组织，一次完成。

查看异常

要查看镜像的异常，您需要具有相应的权限。

使用 GUI 创建的异常对 Docker 组织的成员可见。未经身份验证的用户或不是组织成员的用户无法看到这些异常。
使用 VEX 文档创建的异常对任何可以提取镜像的人都可见，因为 VEX 文档是存储在镜像清单中或镜像的文件系统中。

在 Docker Scout Dashboard 或 Docker Desktop 中查看异常

Docker Scout Dashboard 中 Vulnerabilities 页面的 Exceptions 选项卡列出了对于您组织中的所有镜像。在这里，您可以看到有关每个异常、被抑制的 CVE、异常适用的镜像、异常的类型及其创建方式等。

对于使用 GUI 创建的异常，选择 Action （操作）菜单可以编辑或删除异常。

要查看特定镜像标记的所有异常：

转到 Images （镜像）页面。
选择要检查的标签。
打开 Exceptions 选项卡。

在 Docker Desktop 中打开 Images （镜像）视图。
打开 Hub 选项卡。
选择要检查的标签。
打开 Exceptions 选项卡。

在 CLI 中查看异常

实验的

在 CLI 中查看异常是一项实验性功能。它需要最新版本的 Docker Scout CLI 插件。某些异常可能无法在 CLI 中正确显示。

运行时，CLI 中会突出显示漏洞异常。如果 CVE 被异常抑制，则标签）并显示有关异常的详细信息。docker scout cves <image>SUPPRESSED

重要
要在 CLI 中查看异常，必须将 CLI 配置为使用用于创建例外的同一 Docker 组织。
要为 CLI 配置组织，请运行：
$ docker scout configure organization <organization>
替换为 Docker 组织的名称。<organization>
您还可以使用以下标志按命令设置组织：--org
$ docker scout cves --org <organization> <image>

要从输出中排除被禁止的 CVE，请使用以下标志：--ignore-suppressed

$ docker scout cves --ignore-suppressed <image>