Docker Scout CLI 发行说明
目录
此页面包含有关新功能、改进、已知
Docker Scout CLI 插件和 GitHub Action 中的问题和错误修复。docker/scout-action
1.15.0
2024-10-31新增功能
- 用于以 CycloneDX 格式输出 SBOM 的新标志。
--format=cyclonedxdocker scout sbom
增强
- 对 CVE 摘要使用从高到低的排序顺序。
- 支持启用和禁用由 或 启用的存储库。
docker scout pushdocker scout watch
Bug 修复
- 在分析没有证明的目录时改进消息传递。
仅支持单平台镜像和带证明的多平台镜像。
不支持没有证明的多平台镜像。
oci - 改进分类器和 SBOM 索引器:
- 为 Liquibase 添加分类器。
lpm - 添加 Rakudo Star/MoarVM 二进制分类器。
- 为 silverpeas 实用程序添加二进制分类器。
- 为 Liquibase 添加分类器。
- 使用 containerd 镜像存储改进证明的读取和缓存。
1.14.0
2024-09-24新增功能
- 在命令中添加 CVE 级别的抑制信息。
docker scout cves
Bug 修复
- 修复列出悬空镜像的 CVE,例如:
local://sha256:... - 修复分析文件系统输入时的 panic,例如使用
docker scout cves fs://.
1.13.0
2024-08-05新增功能
- 向 、 和 命令添加 filter 选项。
--only-policydocker scout quickviewdocker scout policydocker scout compare - 向 and 命令添加筛选选项,以筛选出受异常影响的 CVE。
--ignore-suppresseddocker scout cvesdocker scout quickview
错误修复和增强功能
在检查中使用条件策略名称。
添加了对使用链接器标志检测 Go 项目集版本的支持。 例如:
$ go build -ldflags "-X main.Version=1.2.3"
1.12.0
2024-07-31新增功能
仅显示基础镜像中的漏洞:
命令行界面$ docker scout cves --only-base IMAGEGitHub 操作uses: docker/scout-action@v1 with: command: cves image: [IMAGE] only-base: true在命令中考虑 VEX。
quickview命令行界面$ docker scout quickview IMAGE --only-vex-affected --vex-location ./path/to/my.vex.jsonGitHub 操作uses: docker/scout-action@v1 with: command: quickview image: [IMAGE] only-vex-affected: true vex-location: ./path/to/my.vex.json在命令 (GitHub Actions) 中考虑 VEX。
cvesGitHub 操作uses: docker/scout-action@v1 with: command: cves image: [IMAGE] only-vex-affected: true vex-location: ./path/to/my.vex.json
错误修复和增强功能
- 更新以修复 CVE-2024-41110。
github.com/docker/dockerv26.1.5+incompatible - 将 Syft 更新到 1.10.0。
1.11.0
2024-07-25新增功能
筛选 CISA 已知利用漏洞目录中列出的 CVE。
命令行界面$ docker scout cves [IMAGE] --only-cisa-kev ... (cropped output) ... ## Packages and Vulnerabilities 0C 1H 0M 0L io.netty/netty-codec-http2 4.1.97.Final pkg:maven/io.netty/netty-codec-http2@4.1.97.Final ✗ HIGH CVE-2023-44487 CISA KEV [OWASP Top Ten 2017 Category A9 - Using Components with Known Vulnerabilities] https://scout.docker.com/v/CVE-2023-44487 Affected range : <4.1.100 Fixed version : 4.1.100.Final CVSS Score : 7.5 CVSS Vector : CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H ... (cropped output) ...GitHub 操作uses: docker/scout-action@v1 with: command: cves image: [IMAGE] only-cisa-kev: true添加新的分类器:
spipedswifteclipse-mosquittoznc
错误修复和增强功能
- 在没有子组件时允许 VEX 匹配。
- 修复附加无效 VEX 文档时的 panic。
- 修复 SPDX 文档根。
- 修复了当镜像使用 SCRATCH 作为基础镜像时的基础镜像检测。
1.10.0
2024-06-26错误修复和增强功能
添加新的分类器:
irssiBackdropCrateDB CLI (Crash)monicaOpenlibertydumb-initfriendicaredmine
修复包中断 BuildKit 导出器上仅 whitespace-only originator 的问题
修复 SPDX 语句中对具有摘要的镜像的解析镜像引用
支持镜像比较的前缀:
sbom://命令行界面$ docker scout compare sbom://image1.json --to sbom://image2.jsonGitHub 操作uses: docker/scout-action@v1 with: command: compare image: sbom://image1.json to: sbom://image2.json
1.9.3
2024-05-28错误修复
- 修复了检索缓存的 SBOM 时出现的 panic。
1.9.1
2024-05-27新增功能
添加对使用 on 命令的 GitLab 容器扫描文件格式的支持。
--format gitlabdocker scout cves下面是一个示例管道:
docker-build: # Use the official docker image. image: docker:cli stage: build services: - docker:dind variables: DOCKER_IMAGE_NAME: $CI_REGISTRY_IMAGE:$CI_COMMIT_REF_SLUG before_script: - docker login -u "$CI_REGISTRY_USER" -p "$CI_REGISTRY_PASSWORD" $CI_REGISTRY # Install curl and the Docker Scout CLI - | apk add --update curl curl -sSfL https://raw.githubusercontent.com/docker/scout-cli/main/install.sh | sh -s -- apk del curl rm -rf /var/cache/apk/* # Login to Docker Hub required for Docker Scout CLI - echo "$DOCKER_HUB_PAT" | docker login --username "$DOCKER_HUB_USER" --password-stdin # All branches are tagged with $DOCKER_IMAGE_NAME (defaults to commit ref slug) # Default branch is also tagged with `latest` script: - docker buildx b --pull -t "$DOCKER_IMAGE_NAME" . - docker scout cves "$DOCKER_IMAGE_NAME" --format gitlab --output gl-container-scanning-report.json - docker push "$DOCKER_IMAGE_NAME" - | if [[ "$CI_COMMIT_BRANCH" == "$CI_DEFAULT_BRANCH" ]]; then docker tag "$DOCKER_IMAGE_NAME" "$CI_REGISTRY_IMAGE:latest" docker push "$CI_REGISTRY_IMAGE:latest" fi # Run this job in a branch where a Dockerfile exists rules: - if: $CI_COMMIT_BRANCH exists: - Dockerfile artifacts: reports: container_scanning: gl-container-scanning-report.json
错误修复和增强功能
- 支持命令的单架构镜像
docker scout attest add - 在 和 命令上指示镜像来源是否未使用 创建。
如果没有 ,则可能会错误地检测基础镜像,从而导致结果不准确。
docker scout quickviewdocker scout recommendationsmode=maxmode=max
1.9.0
2024-05-24被丢弃,取而代之的是 1.9.1。
1.8.0
2024-04-25错误修复和增强功能
改进 EPSS 分数和百分位数的格式。
以前:
EPSS Score : 0.000440 EPSS Percentile : 0.092510后:
EPSS Score : 0.04% EPSS Percentile : 9th percentile修复分析本地文件系统时命令的 markdown 输出。docker/scout-cli 的 #113
docker scout cves
1.7.0
2024-04-15新增功能
docker scout push命令现在完全可用:在本地分析镜像并将 SBOM 推送到 Docker Scout。
错误修复和增强功能
修复向私有存储库中的镜像添加证明
docker scout attestation add修复基于空基础镜像的镜像处理
scratchDocker Scout CLI 命令的新协议允许您从标准输入中读取 Docker Scout SBOM。
sbom://$ docker scout sbom IMAGE | docker scout qv sbom://为 Joomla 包添加分类器
1.6.4
2024-03-26错误修复和增强功能
- 修复基于 RPM 的 Linux 发行版的纪元处理
1.6.3
2024-03-22错误修复和增强功能
- 改进了包检测,以忽略引用但未安装的包。
1.6.2
2024-03-22错误修复和增强功能
- EPSS 数据现在通过后端获取,而不是通过 CLI 客户端获取。
- 修复了使用前缀呈现 Markdown 输出时出现的问题。
sbom://
删除
- 已删除 和 标志。
docker scout cves --epss-datedocker scout cache prune --epss
1.6.1
2024-03-20注意
该版本仅对 GitHub Action 有影响。
docker/scout-action
新增功能
添加了对以 SDPX 或 in-toto SDPX 格式传入 SBOM 文件的支持
uses: docker/scout-action@v1 with: command: cves image: sbom://alpine.spdx.json添加对 SBOM 格式文件的支持
syft-jsonuses: docker/scout-action@v1 with: command: cves image: sbom://alpine.syft.json
1.6.0
2024-03-19注意
该版本仅影响 CLI 插件,不影响 GitHub Action
新增功能
添加了对以 SDPX 或 in-toto SDPX 格式传入 SBOM 文件的支持
$ docker scout cves sbom://path/to/sbom.spdx.json添加对 SBOM 格式文件的支持
syft-json$ docker scout cves sbom://path/to/sbom.syft.json从标准输入中读取 SBOM 文件
$ syft -o json alpine | docker scout cves sbom://按 EPSS 分数确定 CVE 的优先级
--epss以显示 CVE 并确定其优先级--epss-score以及按 SCORE 和 Percentile 进行筛选--epss-percentile- 修剪缓存的 EPSS 文件
docker scout cache prune --epss
错误修复和增强功能
使用 WSL2 中的 Windows 缓存
在运行 Docker Desktop 的 WSL2 中,Docker Scout CLI 插件现在 使用 Windows 中的缓存。这样,如果镜像已被索引 实例,则不再需要在 WSL2 上重新索引它 边。
如果已使用设置管理功能禁用索引,则现在会在 CLI 中阻止索引。
修复了分析单张镜像输入时出现的 panic
oci-dir使用 containerd 镜像存储改进本地证明支持
早期版本
Docker Scout CLI 插件早期版本的发行说明可用 在 GitHub 上。