管理弱點例外
在容器映像檔中發現的弱點有時需要額外的上下文。僅僅因為映像檔包含一個易受攻擊的套件,並不意味著該弱點是可以被利用的。Docker Scout 中的**例外**讓您可以確認已接受的風險或處理映像檔分析中的誤判。
藉由否定不適用的弱點,您可以讓您自己和映像檔的下游使用者更容易理解弱點在映像檔上下文中的安全意涵。
在 Docker Scout 中,例外會自動計入結果中。如果映像檔包含將 CVE 標記為不適用的例外,則該 CVE 會從分析結果中排除。
建立例外
要為映像檔建立例外,您可以
建議使用 Docker Scout Dashboard 或 Docker Desktop 建立例外。GUI 提供了使用者友善的介面來建立例外。它還允許您一次為多個映像檔或整個組織建立例外。
檢視例外
要檢視映像檔的例外,您需要具備適當的權限。
- 使用 GUI 建立的例外 可供 Docker 組織成員檢視。未經驗證的使用者或非您組織成員的使用者無法看到這些例外。
- 使用 VEX 文件建立的例外 可供任何可以提取映像檔的人檢視,因為 VEX 文件儲存在映像檔資訊清單中或映像檔的檔案系統上。
在 Docker Scout Dashboard 或 Docker Desktop 中檢視例外
Docker Scout Dashboard 中弱點頁面的 **例外**索引標籤 建立的例外,選擇動作選單可讓您編輯或移除例外。
要檢視特定映像檔標籤的所有例外
在 CLI 中檢視例外
**實驗性**
在 CLI 中檢視例外狀況是一項實驗性功能。它需要最新版本的 Docker Scout CLI 外掛程式。某些例外狀況可能無法在 CLI 中正確顯示。
當您執行 docker scout cves <image> 時,弱點例外狀況會在 CLI 中醒目顯示。如果 CVE 被例外狀況抑制,則 CVE ID 旁邊會顯示 SUPPRESSED 標籤。同時還會顯示有關例外狀況的詳細資訊。
重要
為了在 CLI 中檢視例外狀況,您必須將 CLI 設定為使用與建立例外狀況時相同的 Docker 組織。
要為 CLI 設定組織,請執行
$ docker scout configure organization <organization>將
<organization>替換為您的 Docker 組織名稱。您也可以使用
--org旗標,在每個指令的基礎上設定組織$ docker scout cves --org <organization> <image>
要從輸出中排除已抑制的 CVE,請使用 --ignore-suppressed 旗標
$ docker scout cves --ignore-suppressed <image>