Docker Scout CVES
| 描述 | 显示在软件工件中识别的 CVE |
|---|---|
| 用法 | docker scout cves [OPTIONS] [IMAGE|DIRECTORY|ARCHIVE] |
描述
该命令分析软件工件中的漏洞。docker scout cves
如果未指定镜像,则使用最近构建的镜像。
支持以下对象类型:
- 镜像
- OCI 布局目录
- Tarball 档案,由
docker save - 本地目录或文件
默认情况下,该工具需要镜像引用,例如:
rediscurlimages/curl:7.87.0mcr.microsoft.com/dotnet/runtime:7.0
如果要分析的对象是 OCI 目录、tarball 存档、本地文件或目录, 或者,如果要控制从何处解析镜像,则必须在引用前加上以下选项之一:
image://(默认)使用本地镜像,或回退到注册表查找local://使用本地镜像存储中的镜像(不执行注册表查找)registry://使用注册表中的镜像 (不要使用本地镜像)oci-dir://使用 OCI 布局目录archive://使用 tarball 存档,由docker savefs://使用本地目录或文件sbom://SPDX 文件或带有 SPDX 谓词或 json SBOM 文件的 in-toto 证明文件 在 prefix 的情况下,如果文件未定义,则它将尝试从标准输入中读取它。syftsbom://
选项
| 选择 | 违约 | 描述 |
|---|---|---|
--details | 在默认文本输出上打印详细信息 | |
--env | 环境名称 | |
--epss | 显示 EPSS 分数并根据软件包的 EPSS 分数组织软件包的 CVE | |
--epss-percentile | 排除 EPSS 分数低于指定百分位数(0 到 1)的 CVE | |
--epss-score | 排除 EPSS 分数小于指定值(0 到 1)的 CVE | |
-e, --exit-code | 如果检测到漏洞,则返回退出代码 '2' | |
--format | packages | 生成的漏洞报告的输出格式: - packages: 默认输出,按包 分组的漏洞的纯文本- sarif: json Sarif 输出 - spdx: json SPDX 输出 - gitlab: json GitLab 输出 - markdown: markdown 输出(包括一些 html 标签,如可折叠部分) - sbom: json SBOM 输出 |
--ignore-base | 筛选出从基础镜像引入的 CVE | |
--ignore-suppressed | 根据指定的异常范围筛选在 Scout 异常中发现的 CVE | |
--locations | 打印包位置,包括文件路径和图层diff_id | |
--multi-stage | 显示来自多阶段 Docker 构建的包 | |
--only-base | 仅显示基础镜像引入的 CVE | |
--only-cisa-kev | 筛选到 CISA KEV 目录中列出的 CVE | |
--only-cve-id | 要搜索的 CVE ID 的逗号分隔列表(如 CVE-2021-45105) | |
--only-fixed | 筛选出可修复的 CVE | |
--only-metric | 以逗号分隔的 CVSS 指标列表(如 AV:N 或 PR:L),用于筛选 CVE | |
--only-package | 以逗号分隔的正则表达式以筛选包 | |
--only-package-type | 以逗号分隔的包类型列表(如 apk、deb、rpm、npm、pypi、golang 等) | |
--only-severity | 以逗号分隔的严重性列表(严重、高、中、低、未指定),以过滤 CVE 作为依据 | |
--only-stage | 多阶段 Docker 构建阶段名称的逗号分隔列表 | |
--only-unfixed | 筛选出未修复的 CVE | |
--only-vex-affected | 按状态不受影响的 VEX 语句筛选 CVE | |
--only-vuln-packages | 与 --format=only-packages 一起使用时,忽略没有漏洞的软件包 | |
--org | Docker 组织的命名空间 | |
-o, --output | 将报表写入文件 | |
--platform | 镜像分析平台 | |
--ref | 如果提供的 tarball 包含多个引用,则使用 Reference。 只能与存档一起使用 | |
--vex-author | 接受的 VEX 语句作者名单 | |
--vex-location | 包含 VEX 语句的目录或文件的文件位置 |
例子
显示按包分组的漏洞
$ docker scout cves alpine
Analyzing image alpine
✓ Image stored for indexing
✓ Indexed 18 packages
✓ No vulnerable package detected
显示来自 docker save tarball 的漏洞
$ docker save alpine > alpine.tar
$ docker scout cves archive://alpine.tar
Analyzing archive alpine.tar
✓ Archive read
✓ SBOM of image already cached, 18 packages indexed
✓ No vulnerable package detected
显示 OCI 目录中的漏洞
$ skopeo copy --override-os linux docker://alpine oci:alpine
$ docker scout cves oci-dir://alpine
Analyzing OCI directory alpine
✓ OCI directory read
✓ Image stored for indexing
✓ Indexed 19 packages
✓ No vulnerable package detected
显示当前目录中的漏洞
$ docker scout cves fs://.
将漏洞导出到 SARIF JSON 文件
$ docker scout cves --format sarif --output alpine.sarif.json alpine
Analyzing image alpine
✓ SBOM of image already cached, 18 packages indexed
✓ No vulnerable package detected
✓ Report written to alpine.sarif.json
显示 Markdown 输出
以下示例演示如何以 markdown 形式生成漏洞报告。
$ docker scout cves --format markdown alpine
✓ Pulled
✓ SBOM of image already cached, 19 packages indexed
✗ Detected 1 vulnerable package with 3 vulnerabilities
<h2>:mag: Vulnerabilities of <code>alpine</code></h2>
<details open="true"><summary>:package: Image Reference</strong> <code>alpine</code></summary>
<table>
<tr><td>digest</td><td><code>sha256:e3bd82196e98898cae9fe7fbfd6e2436530485974dc4fb3b7ddb69134eda2407</code></td><tr><tr><td>vulnerabilities</td><td><img alt="critical: 0" src="https://img.shields.io/badge/critical-0-lightgrey"/> <img alt="high: 0" src="https://img.shields.io/badge/high-0-lightgrey"/> <img alt="medium: 2" src="https://img.shields.io/badge/medium-2-fbb552"/> <img alt="low: 0" src="https://img.shields.io/badge/low-0-lightgrey"/> <img alt="unspecified: 1" src="https://img.shields.io/badge/unspecified-1-lightgrey"/></td></tr>
<tr><td>platform</td><td>linux/arm64</td></tr>
<tr><td>size</td><td>3.3 MB</td></tr>
<tr><td>packages</td><td>19</td></tr>
</table>
</details></table>
</details>
...
列出特定类型的所有易受攻击的软件包
以下示例说明如何生成包列表,仅包含 包,并且仅显示易受攻击的包。
$ docker scout cves --format only-packages --only-package-type golang --only-vuln-packages golang:1.18.0
✓ Pulled
✓ SBOM of image already cached, 296 packages indexed
✗ Detected 1 vulnerable package with 40 vulnerabilities
Name Version Type Vulnerabilities
───────────────────────────────────────────────────────────
stdlib 1.18 golang 2C 29H 8M 1L
显示 EPSS 分数 (--epss)
该标志将 Exploit Prediction Scoring System (EPSS) 分数添加到输出中。EPSS 分数是对似然(概率)的估计值
软件漏洞将在未来 30 天内被广泛利用。
分数越高,漏洞被利用的可能性就越大。--epssdocker scout cves
$ docker scout cves --epss nginx
✓ Provenance obtained from attestation
✓ SBOM obtained from attestation, 232 packages indexed
✓ Pulled
✗ Detected 23 vulnerable packages with a total of 39 vulnerabilities
...
✗ HIGH CVE-2023-52425
https://scout.docker.com/v/CVE-2023-52425
Affected range : >=2.5.0-1
Fixed version : not fixed
EPSS Score : 0.000510
EPSS Percentile : 0.173680
EPSS Score是一个介于 0 和 1 之间的浮点数,表示未来 30 天内(在分数发布后)在野外利用的概率。EPSS Percentile是当前分数的百分位数,即具有相同或较低 EPSS 分数的所有已评分漏洞的比例。
您可以使用 and 标志来筛选输出
的。例如
仅显示 EPSS 分数高于 0.5 的漏洞:--epss-score--epss-percentiledocker scout cves
$ docker scout cves --epss --epss-score 0.5 nginx
✓ SBOM of image already cached, 232 packages indexed
✓ EPSS scores for 2024-03-01 already cached
✗ Detected 1 vulnerable package with 1 vulnerability
...
✗ LOW CVE-2023-44487
https://scout.docker.com/v/CVE-2023-44487
Affected range : >=1.22.1-9
Fixed version : not fixed
EPSS Score : 0.705850
EPSS Percentile : 0.979410
EPSS 分数每天更新。
默认情况下,将显示最新的可用分数。
您可以使用该标志手动指定日期
在用于获取 EPSS 分数的格式中。--epss-dateyyyy-mm-dd
$ docker scout cves --epss --epss-date 2024-01-02 nginx
列出 SPDX 文件中的漏洞
以下示例说明如何使用 SPDX 文件生成漏洞列表。syft
$ syft -o spdx-json alpine:3.16.1 | docker scout cves sbom://
✔ Pulled image
✔ Loaded image alpine:3.16.1
✔ Parsed image sha256:3d81c46cd8756ddb6db9ec36fa06a6fb71c287fb265232ba516739dc67a5f07d
✔ Cataloged contents 274a317d88b54f9e67799244a1250cad3fe7080f45249fa9167d1f871218d35f
├── ✔ Packages [14 packages]
├── ✔ File digests [75 files]
├── ✔ File metadata [75 locations]
└── ✔ Executables [16 executables]
✗ Detected 2 vulnerable packages with a total of 11 vulnerabilities