Docker Scout 中的資料收集和儲存

目錄

Docker Scout 的映像檔分析功能是透過收集您分析的容器映像檔中的中繼資料來運作的。此中繼資料儲存在 Docker Scout 平台上。

資料傳輸

本節說明 Docker Scout 收集並傳送到平台的資料。

映像檔中繼資料

Docker Scout 收集下列映像檔中繼資料

  • 映像檔建立時間戳記
  • 映像檔摘要
  • 映像檔公開的埠
  • 環境變數名稱和值
  • 映像檔標籤的名稱和值
  • 映像檔層的順序
  • 硬體架構
  • 作業系統類型和版本
  • 登錄檔 URL 和類型

在建置映像檔並將其推送到登錄檔時,會為映像檔的每一層建立映像檔摘要。它們是層內容的 SHA256 摘要。Docker Scout 不會建立摘要;它們是從映像檔資訊清單中讀取的。

摘要會與您自己的私有映像檔和 Docker 的公開映像檔資料庫進行比對,以識別共用相同層的映像檔。共用最多層的映像檔被視為目前正在分析的映像檔的基礎映像檔相符項。

SBOM 中繼資料

軟體材料清單 (SBOM) 中繼資料用於將套件類型和版本與弱點資料進行比對,以推斷映像檔是否受到影響。當 Docker Scout 平台從安全性諮詢收到有關新的 CVE 或其他風險因素(例如洩露的機密)的資訊時,它會將此資訊與 SBOM 交叉參考。如果相符,Docker Scout 會在 Docker Scout 資料出現的使用者介面(例如 Docker Scout 儀表板和 Docker Desktop)中顯示結果。

Docker Scout 收集下列 SBOM 中繼資料

  • 套件 URL (PURL)
  • 套件作者和說明
  • 授權 ID
  • 套件名稱和命名空間
  • 套件架構和大小
  • 套件類型和版本
  • 映像檔中的檔案路徑
  • 直接相依性的類型
  • 套件總數

Docker Scout 中的 PURL 遵循 purl-spec 規格環境中繼資料

如果您透過 Sysdig 整合將 Docker Scout 與您的執行階段環境整合,Docker Scout 會收集有關您部署的下列資料點

  • Kubernetes 命名空間
  • 工作負載名稱
  • 工作負載類型(例如,DaemonSet)

本地分析

對於在開發人員機器上本地分析的映像檔,Docker Scout 只會傳輸 PURL 和層摘要。此資料不會永久儲存在 Docker Scout 平台上;它僅用於執行分析。

來源

對於具有 來源證明 的映像檔,除了 SBOM 之外,Docker Scout 還會儲存下列資料

  • 素材
  • 基礎映像檔
  • 版本控制系統資訊
  • Dockerfile

資料儲存

為了提供 Docker Scout 服務,資料使用下列方式儲存

  • 位於美國東部的伺服器上的 Amazon Web Services (AWS)
  • 位於美國東部的伺服器上的 Google Cloud Platform (GCP)

資料的使用方式依據 docker.com/legal

編輯此頁面

要求變更