映像檔安全性分析

目錄

使用 Docker Hub 的映像檔安全性分析,強化 Docker 映像檔的安全性。Docker Hub 讓您可以執行時間點靜態弱點掃描或使用 Docker Scout 進行隨時更新的映像檔分析。

Docker Scout 映像檔分析

開啟 Docker Scout 映像檔分析後,Docker Scout 會自動分析 Docker Hub 儲存庫中的映像檔。

映像檔分析會擷取軟體物料清單 (SBOM) 和其他映像檔中繼資料,並根據安全性諮詢中的弱點資料進行評估。

以下章節說明如何開啟或關閉 Docker Hub 儲存庫的 Docker Scout 映像檔分析。如需映像檔分析的詳細資訊,請參閱 Docker Scout

開啟 Docker Scout 映像檔分析

  1. 登入 Docker Hub

  2. 選擇**儲存庫**。

    您的儲存庫清單隨即顯示。

  3. 選擇一個儲存庫。

    儲存庫的**一般**頁面隨即顯示。

  4. 選擇**設定**索引標籤。

  5. 在**映像檔安全性分析設定**下,選擇**Docker Scout 映像檔分析**。

  6. 選擇**儲存**。

關閉 Docker Scout 映像檔分析

  1. 登入 Docker Hub

  2. 選擇**儲存庫**。

    您的儲存庫清單隨即顯示。

  3. 選擇一個儲存庫。

    儲存庫的**一般**頁面隨即顯示。

  4. 選擇**設定**索引標籤。

  5. 在**映像檔安全性分析設定**下,選擇**無**。

  6. 選擇**儲存**。

靜態弱點掃描

**注意**

Docker Hub 靜態弱點掃描需要 Docker Pro、Team 或 Business 訂閱。

開啟靜態掃描後,將映像檔推送到 Docker Hub 儲存庫時,Docker Hub 會自動掃描映像檔以識別弱點。掃描結果會顯示執行掃描時映像檔的安全性狀態。

掃描結果包括

  • 弱點的來源,例如作業系統 (OS) 套件和程式庫
  • 引入弱點的版本
  • 建議的修復版本(如果有的話),以修復發現的弱點。

Docker Hub 中靜態掃描的變更

自 2023 年 2 月 27 日起,Docker 變更了支援 Docker Hub 靜態掃描功能的技術。靜態掃描現在由 Docker 原生提供支援,而不是由協力廠商提供支援。

由於這項變更,掃描現在可以比以往更精細地偵測弱點。這也表示弱點報告可能會顯示更多弱點。如果您在 2023 年 2 月 27 日之前使用弱點掃描,您可能會看到新的弱點報告列出更多弱點,這是因為分析更徹底。

您無需採取任何行動。掃描將照常繼續運行,不會中斷或變更價格。歷程記錄資料仍然可用。

開啟靜態弱點掃描

儲存庫擁有者和管理員可以在儲存庫上啟用靜態弱點掃描。如果您是 Team 或 Business 訂閱的成員,請確認您要啟用掃描的儲存庫屬於 Team 或 Business 層級。

當儲存庫啟用掃描功能時,任何具有推送權限的使用者都可以透過將映像檔推送到 Docker Hub 來觸發掃描。

啟用靜態弱點掃描

**注意**

靜態弱點掃描支援掃描 AMD64 架構、Linux 作業系統且大小小於 10 GB 的映像檔。

  1. 登入 Docker Hub

  2. 選擇**儲存庫**。

    您的儲存庫清單隨即顯示。

  3. 選擇一個儲存庫。

    儲存庫的**一般**頁面隨即顯示。

  4. 選擇**設定**索引標籤。

  5. 映像檔安全性洞察設定下,選擇靜態掃描

  6. 選擇**儲存**。

掃描映像檔

若要掃描映像檔中的弱點,請將映像檔推送到 Docker Hub 中已開啟掃描功能的儲存庫。

檢視弱點報告

檢視弱點報告

  1. 登入 Docker Hub

  2. 選擇**儲存庫**。

    您的儲存庫清單隨即顯示。

  3. 選擇一個儲存庫。

    儲存庫的一般頁面隨即顯示。弱點報告可能需要幾分鐘才會顯示在您的儲存庫中。

    Vulnerability scan report

  4. 選擇標籤頁籤,然後選擇摘要,再選擇弱點,即可檢視詳細的掃描報告。

    掃描報告會顯示掃描識別出的弱點,並根據其嚴重性排序,最嚴重的弱點會列在最上方。它會顯示包含弱點的套件相關資訊、引入弱點的版本,以及弱點是否已在新版本中修復。

    Vulnerability scan details

如需此檢視的詳細資訊,請參閱映像檔詳細資料檢視

檢查弱點

弱點報告會根據嚴重性對弱點進行排序。它會顯示包含弱點的套件相關資訊、引入弱點的版本,以及弱點是否已在新版本中修復。

弱點掃描報告也允許開發團隊和資安主管比較不同標籤之間的弱點數量,以了解弱點是否隨著時間推移而減少或增加。

修復弱點

識別出一系列弱點後,您可以採取幾項措施來修復這些弱點。例如,您可以

  1. 在 Dockerfile 中指定更新的基礎映像檔,檢查應用程式層級的相依性,重建 Docker 映像檔,然後將新的映像檔推送到 Docker Hub。
  2. 重建 Docker 映像檔,對作業系統套件執行更新指令,然後將更新版本的映像檔推送到 Docker Hub。
  3. 編輯 Dockerfile 以手動移除或更新包含弱點的特定程式庫,重建映像檔,然後將新的映像檔推送到 Docker Hub。

Docker Scout 可以提供具體且符合情境的修復步驟,以改善映像檔安全性。如需詳細資訊,請參閱Docker Scout

關閉靜態弱點掃描

儲存庫擁有者和管理員可以停用儲存庫上的靜態弱點掃描功能。若要停用掃描功能,請執行下列步驟:

  1. 登入 Docker Hub

  2. 選擇**儲存庫**。

    您的儲存庫清單隨即顯示。

  3. 選擇一個儲存庫。

    儲存庫的**一般**頁面隨即顯示。

  4. 選擇**設定**索引標籤。

  5. 在**映像檔安全性分析設定**下,選擇**無**。

  6. 選擇**儲存**。