Docker Scout 健全分數
測試版
健全分數是 Docker Scout 的測試版功能。此功能僅適用於選定參與搶先體驗計畫的組織。
Docker Scout 健全分數提供 Docker Hub 上映像檔的安全性評估和整體供應鏈健全狀況,協助您判斷映像檔是否符合既定的安全性最佳實務。分數範圍從 A 到 F,其中 A 代表最高安全等級,F 代表最低安全等級,讓您可以一目瞭然地瞭解映像檔的安全性狀態。
只有擁有儲存庫的組織成員,且至少具有儲存庫的「讀取」權限,才能檢視健全分數。組織外部的使用者或沒有「讀取」權限的成員看不到此分數。
檢視健全分數
若要在 Docker Hub 中檢視映像檔的健全分數
- 前往 Docker Hub 並登入。
- 瀏覽至您的組織頁面。
在儲存庫清單中,您可以根據最新推送的標籤看到每個儲存庫的健全分數。
若要在 Docker Desktop 中檢視映像檔的健全分數
- 開啟 Docker Desktop 並登入您的 Docker 帳戶。
- 瀏覽至**映像檔**檢視,然後選取**Hub**索引標籤。
在儲存庫清單中,**健全狀況**欄位會顯示已推送至 Docker Hub 的不同標籤的分數。
健全分數標記會以顏色編碼,以指示儲存庫的整體健全狀況
- **綠色**:分數為 A 或 B。
- **黃色**:分數為 C。
- **橘色**:分數為 D。
- **紅色**:分數為 E 或 F。
- **灰色**:分數為 `N/A`。
分數也會顯示在指定儲存庫的 Docker Hub 頁面上,以及每個促成分數的策略。
評分系統
健全分數是根據 Docker Scout 策略評估映像檔來決定的。這些策略符合軟體供應鏈的最佳實務。
如果您的映像檔儲存庫已註冊 Docker Scout,則會根據為您的組織啟用的策略自動計算健全分數。這也包括您已設定的任何自訂策略。
如果您未使用 Docker Scout,健全分數會顯示您的映像檔與預設策略的合規性,這是 Docker 建議作為映像檔基礎標準的一組供應鏈規則。您可以為您的組織啟用 Docker Scout 並編輯策略設定,以根據您的特定策略獲得更相關的健全分數。
評分流程
每個策略都會根據其類型指定一個點數值。如果映像檔符合策略,則會獲得該策略類型的點數值。映像檔的健全分數是根據相對於總可能點數所獲得的點數百分比來計算的。
評估映像檔的策略合規性
根據合規性授予點數與策略
計算獲得的點數百分比
Percentage = (Points / Total) * 100根據獲得的點數百分比指定最終分數,如下表所示
點數百分比(授予點數 / 總點數) 分數 超過 90% A 71% 到 90% B 51% 到 70% C 31% 到 50% D 11% 到 30% E 低於 10% F
N/A 分數
映像檔也可能被指定 `N/A` 分數,這可能發生在以下情況
- 映像檔大於 4GB(壓縮大小)。
- 映像檔架構不是 `linux/amd64` 或 `linux/arm64`。
- 映像檔太舊,沒有新的資料可供評估。
如果您看到 `N/A` 分數,請考慮以下事項
- 如果映像檔太大,請嘗試減小映像檔的大小。
- 如果映像檔的架構不受支援,請針對受支援的架構重建映像檔。
- 如果映像檔過舊,請推送新的標籤以觸發新的評估。
策略權重
不同策略類型的權重不同,這會影響評估期間分配給映像檔的分數,如下表所示。
| 策略類型 | 點數 |
|---|---|
| 基於嚴重性的漏洞 | 20 |
| 高風險漏洞 | 20 |
| 供應鏈證明 | 15 |
| 已批准的基礎映像檔 | 15 |
| 最新的基礎映像檔 | 10 |
| SonarQube 品質閘道器 * | 10 |
| 預設非 root 使用者 | 5 |
| 相容的授權 | 5 |
* _此策略預設未啟用,必須由使用者設定。_
評估
健康分數會在啟用此功能後,針對推送到 Docker Hub 的新映像檔計算。健康分數可協助您維持高安全性標準,並確保您的應用程式建構在安全可靠的映像檔上。
儲存庫分數
除了個別映像檔分數(依標籤或摘要)之外,每個儲存庫都會根據最新推送的標籤收到一個健康分數,提供儲存庫整體安全狀態的概觀。
範例
對於總分可能為 100 分的映像檔
- 如果映像檔僅偏離一項策略,價值 5 分,則其分數將為 95 分(滿分 100 分)。由於此分數高於第 90 個百分位數,因此映像檔會收到 A 級健康分數。
- 如果映像檔不符合更多策略且分數為 65 分(滿分 100 分),則它會收到 C 級健康分數,反映其較低的合規性。
改善您的健全分數
要提高映像檔的健康分數,請採取措施確保映像檔符合 Docker Scout 建議的策略。
- 前往 Docker Scout 儀表板。
- 使用您的 Docker ID 登入。
- 前往 儲存庫設定 並為您的 Docker Hub 映像檔儲存庫啟用 Docker Scout。
- 分析儲存庫的策略合規性,並採取行動以確保您的映像檔符合策略。
由於策略的權重不同,因此請優先考慮得分最高的策略,以對映像檔的整體分數產生更大的影響。