使用 Docker Scout 进行修复

Docker Scout 通过提供 Docker Scout 来帮助您修复供应链或安全问题 基于策略评估结果的建议。建议包括 您可以采取的建议操作来提高策略合规性，或者添加 元数据转换为镜像，使 Docker Scout 能够提供更好的评估 结果和建议。

Docker Scout 为 以下策略类型：

• 最新的基础镜像
• 供应链鉴证

注意

自定义策略不支持引导式修复。

对于违反政策的图片，建议侧重于解决 合规性问题和修复违规行为。对于 Docker Scout 所在的镜像 无法确定合规性，建议向您展示如何满足 确保 Docker Scout 可以成功评估策略的先决条件。

查看建议

建议显示在 Docker Scout 的策略详细信息页面上 挡泥板。要访问此页面：

1. 转到 Docker Scout 控制面板中的 Policies （策略） 页面。
2. 在列表中选择一个策略。

策略详细信息页面将评估结果分组到两个不同的选项卡中 取决于策略状态：

• 违反
• 合规性未知

Violations （违规） 选项卡列出了不符合所选策略的镜像。 Compliance unknown （未知合规性） 选项卡列出了 Docker Scout 无法列出的镜像 确定 的合规性状态。当合规性未知时，Docker Scout 需要有关镜像的更多信息。

要查看针对镜像的建议操作，请将鼠标悬停在 列表以显示 View fixes （查看修复） 按钮。

选择 View fixes （查看修复） 按钮以打开包含 针对您的镜像的建议操作。

如果有多个建议可用，则主 建议显示为 Recommended fix（建议的修复）。其他建议 列为 Quick fixes。快速修复通常是提供 临时解决方案。

侧面板还可能包含一个或多个与 可用的建议。

最新的 Base Images 修复

Up-to-Date Base Images 策略检查您使用的基础镜像是否为 最新的。修复侧面板中显示的建议操作 取决于 Docker Scout 拥有多少关于您的镜像的信息。越多 可用的信息，建议就越好。

以下方案概述了不同的建议，具体取决于 有关镜像的可用信息。

无出处证明

要使 Docker Scout 能够评估此策略，您必须添加 provenance 证明您的镜像。如果 您的镜像没有出处证明，合规性是无法确定的。

提供来源证明

添加来源证明后，Docker Scout 可以正确检测基础 image 版本。证明中的版本是 与相应标签的当前版本进行交叉引用 确定它是否是最新的。

如果存在策略冲突，建议的操作将演示如何更新 基础镜像版本设置为最新版本，同时固定基础镜像 version 添加到特定摘要中。有关详细信息，请参阅固定基础镜像 版本。

已启用 GitHub 集成

如果您在 GitHub 上托管镜像的源代码，则可以启用 GitHub 集成。这 集成使 Docker Scout 能够提供更有用的补救措施 建议，并允许您直接从 Docker Scout 仪表板。

启用 GitHub 集成后，您可以使用修复侧面板 在镜像的 GitHub 存储库上提出拉取请求。拉取请求 会自动将 Dockerfile 中的基础镜像版本更新为 最新版本。

此自动修复将基础镜像固定到特定摘要，而 帮助您在新版本可用时保持最新状态。固定底座 镜像到摘要中对于可重复性很重要，并有助于避免不需要的 进入供应链的变化。

有关基础镜像固定的更多信息，请参阅固定基础镜像 版本。

供应链鉴证补救

默认的 Supply Chain Attestens 策略需要完全出处和 镜像上的 SBOM 证明。如果您的镜像缺少认证，或者 证明不包含足够的信息，则违反了此策略。

修复侧面板中提供的建议有助于指导您 您需要采取什么措施来解决问题。例如，如果您的镜像 具有 Provenance 证明，但该证明不包含足够的 信息，建议您使用 mode=max provenance 重新构建镜像。