此版本在 Docker Scout 中引入了对 Exceptions 的初步支持挡泥板。例外允许您抑制在镜像中发现的漏洞（误报），使用 VEX 文档。将 VEX 文档附加到镜像上证明，或将它们嵌入到镜像文件系统中，Docker Scout 将自动检测 VEX 语句并将其合并到镜像分析中结果。

新的 Exceptions （例外）页面列出了所有影响组织中镜像的异常。您也可以转到镜像视图以查看适用于给定镜像。

有关更多信息，请参阅管理漏洞异常。

2024-05-06

新的 HTTP 端点，允许您使用 Prometheus 从 Docker Scout 中抓取数据，使用 Grafana 创建您自己的漏洞和策略控制面板。有关更多信息，请参阅 Docker Scout 指标导出器。

2024 年第 1 季度

2024 年第一季度发布的新功能和增强功能。

2024-03-29

No high-profile vulnerabilities 策略现在报告xz后门漏洞 CVE-2024-3094。任何镜像中包含xz/liblzma跟后门将不符合 No high-profile vulnerabilities 策略。

2024-03-20

的 No fixable critical or high vulnerabilities 策略现在支持 Fixable vulnerabilities only 配置选项，该选项允许您决定是否仅标记具有可用修复版本的漏洞。

2024-03-14

已删除 All critical vulnerabilities 策略。 No fixable critical or high vulnerabilities 策略提供类似的功能，并将在未来更新以允许更广泛的自定义，使现已删除的 All critical vulnerabilities 策略变得多余。

2024-01-26

Azure 容器注册表集成从早期访问升级到正式发布。

有关详细信息和设置说明，请参阅集成 Azure 容器注册表。

2024-01-23

新的 Approved Base Images 策略，允许您限制哪个基础镜像。您可以使用模式。镜像引用与指定模式不匹配的基本镜像导致策略失败。

2024-01-12

新的 Default non-root user 策略，该策略标记将作为root默认情况下具有完全系统管理权限的超级用户。为镜像指定非 root 默认用户有助于增强运行时安全性。

2024-01-11

用于集成的新 GitHub 应用程序的 Beta 版 Docker Scout 与您的源代码管理，以及用于帮助您提高策略合规性。

修复是 Docker Scout 的一项新功能，用于提供上下文、根据策略评估结果建议的改进措施合规。

GitHub 集成增强了修复功能。通过集成启用后，Docker Scout 能够将分析结果连接到源。这使用有关如何构建镜像的额外上下文来生成更好的更精确的建议。

有关 Docker Scout 可以的推荐类型的更多信息提供以帮助您提高策略合规性，请参阅补救。

有关如何在您的 Docker Scout GitHub 应用程序上授权的更多信息源存储库，请参阅将 Docker Scout 与 GitHub 集成。

2023 年第 4 季度

2023 年第四季度发布的新功能和增强功能。

2023-12-20

Azure Container Registry 集成从 Beta 版升级到早期访问版。

有关详细信息和设置说明，请参阅集成 Azure 容器注册表。

2023-12-06

新的 SonarQube 集成和相关政策。SonarQube 是一个开源平台，用于持续代码质量检查。此集成允许您添加 SonarQube 的质量 gates 作为 Docker Scout 中的策略评估。启用集成，推送您的镜像，并查看 SonarQube 质量门条件在新的 SonarQube 质量门通过策略中出现。

2023-12-01

新 Azure 容器的 Beta 版 注册表 （ACR）集成，允许 Docker Scout 提取和分析镜像自动在 ACR 存储库中。

若要了解有关集成以及如何开始的详细信息，请参阅集成 Azure 容器注册表。

2023-11-21

新的可配置策略功能，使您能够调整根据您的首选项提供开箱即用的策略，或完全禁用它们如果它们不太符合您的需求。如何适应的一些示例适用于您组织的策略包括：

更改漏洞相关策略使用的 severity-thresholds
自定义“备受瞩目的漏洞”列表
添加或删除要标记为 “copyleft” 的软件许可证

有关更多信息，请参阅可配置策略。

2023-11-10

新的供应链鉴证政策可帮助您追踪您的镜像是使用 SBOM 和来源证明构建的。添加证明图片是改善供应链行为的良好第一步，并且是通常是做更多事情的先决条件。

2023-11-01

新的 No high-profile vulnerabilities 策略，可确保您的构件摆脱了被广泛认为存在风险的精选漏洞列表。

2023-10-04

这标志着 Docker Scout 的正式发布（GA）版本。

此版本包括以下新功能：

策略评估（抢先体验）
Amazon ECR 集成
Sysdig 集成
JFrog Artifactory 集成

策略评估

策略评估是一项早期访问功能，可帮助您确保软件完整性，并跟踪您的工件在一段时间内的运行情况。此版本附带具有四个开箱即用的策略，默认为所有组织启用。

基础镜像不是最新的 评估基础镜像是否不在 date 并需要更新。最新的基础镜像可帮助您确保环境可靠且安全。
Critical and high vulnerabilities with fixes 报告（如果有）镜像中严重性为“严重”或“高”的漏洞，以及其中有一个可用的修复版本，您可以升级到该版本。
所有关键漏洞都会查找在镜像中发现严重性。
带有 AGPLv3、GPLv3 许可证的软件包可帮助您捕获可能不需要的软件包镜像中使用的 CopyLeft 许可证。

您可以使用 Docker Scout 查看和评估镜像的策略状态 Dashboard 和docker scout policyCLI 命令。有关更多信息，请参阅策略评估文档。

Amazon ECR 集成

新的 Amazon Elastic Container Registry （ECR）集成支持镜像分析托管在 ECR 存储库中的镜像。

您可以使用预配置的 CloudFormation 堆栈模板设置集成引导您账户中必要的 AWS 资源。Docker Scout 自动分析您推送到注册表的镜像，仅存储有关镜像内容的元数据，而不是容器镜像本身的元数据。

该集成提供了一个简单的过程，用于添加其他 repositories、为特定存储库激活 Docker Scout，并删除如果需要，集成。要了解更多信息，请参阅 Amazon ECR 集成文档。

Sysdig 集成

新的 Sysdig 集成为您提供实时安全洞察 Kubernetes 运行时环境。

启用此集成有助于解决镜像风险并确定其优先级用于运行您的生产工作负载。它还有助于减少监控噪音，通过自动排除从未加载的程序中的漏洞到 memory 中。

有关更多信息和入门，请参阅 Sysdig 集成文档。

JFrog Artifactory 集成

新的 JFrog Artifactory 集成支持对人工注册表。

Animation of how to integrate Artifactory

该集成涉及部署一个 Docker Scout Artifactory 代理，该代理轮询对于新镜像，执行分析并将结果上传到 Docker Scout，则所有同时保持镜像数据的完整性。在 Artifactory 中了解更多信息集成文档

已知限制

镜像分析仅适用于 Linux 镜像
Docker Scout 无法处理压缩大小大于 12GB 的镜像
创建镜像 SBOM（镜像分析的一部分）的超时限制为 4 分钟