Docker Scout CLI 發行說明

此頁面包含 Docker Scout CLI 外掛程式2024-10-31

新增

docker scout sbom 的新 --format=cyclonedx 旗標，可將 SBOM 輸出為 CycloneDX 格式。

增強功能

對 CVE 摘要使用從高到低的排序順序。
支援啟用和停用由 docker scout push 或 docker scout watch 啟用的儲存庫。

錯誤修正

改進在分析沒有證明資訊的 oci 目錄時的訊息。僅支援單平台映像檔和 *具有證明資訊* 的多平台映像檔。不支援沒有證明資訊的多平台映像檔。
改進分類器和 SBOM 索引器
- 新增 Liquibase lpm 的分類器。
- 新增 Rakudo Star/MoarVM 二進位檔分類器。
- 新增 silverpeas 工具程式的二進位檔分類器。
使用 containerd 映像檔儲存區改進證明資訊的讀取和快取。

1.14.0

2024-09-24

新增

在 docker scout cves 命令中，於 CVE 層級新增抑制資訊。

錯誤修正

修正了列出懸空映像檔的 CVE 的問題，例如：local://sha256:...
修正了在分析檔案系統輸入時發生的嚴重錯誤，例如使用 docker scout cves fs://.

1.13.0

2024-08-05

新增

在 docker scout quickview、docker scout policy 和 docker scout compare 命令中新增 --only-policy 過濾選項。
在 docker scout cves 和 docker scout quickview 命令中新增 --ignore-suppressed 過濾選項，以濾除受例外影響的 CVE。

錯誤修正和增強功能

在檢查中使用條件式策略名稱。
新增支援偵測使用連結器旗標設定的 Go 專案版本，例如
$ go build -ldflags "-X main.Version=1.2.3"

1.12.0

2024-07-31

新增

僅顯示來自基礎映像檔的弱點

CLI

$ docker scout cves --only-base IMAGE

GitHub Action

uses: docker/scout-action@v1
with:
  command: cves
  image: [IMAGE]
  only-base: true

在 quickview 命令中將 VEX 納入考量。

CLI

$ docker scout quickview IMAGE --only-vex-affected --vex-location ./path/to/my.vex.json

GitHub Action

uses: docker/scout-action@v1
with:
  command: quickview
  image: [IMAGE]
  only-vex-affected: true
  vex-location: ./path/to/my.vex.json

在 cves 命令 (GitHub Actions) 中將 VEX 納入考量。

GitHub Action

uses: docker/scout-action@v1
with:
  command: cves
  image: [IMAGE]
  only-vex-affected: true
  vex-location: ./path/to/my.vex.json

錯誤修正和增強功能

將 github.com/docker/docker 更新為 v26.1.5+incompatible 以修正 CVE-2024-41110。
將 Syft 更新至 1.10.0。

1.11.0

2024-07-25

新增

過濾 CISA 已知被利用弱點目錄中列出的 CVE。

CLI

$ docker scout cves [IMAGE] --only-cisa-kev

... (cropped output) ...
## Packages and Vulnerabilities

0C     1H     0M     0L  io.netty/netty-codec-http2 4.1.97.Final
pkg:maven/io.netty/netty-codec-http2@4.1.97.Final

✗ HIGH CVE-2023-44487  CISA KEV  [OWASP Top Ten 2017 Category A9 - Using Components with Known Vulnerabilities]
  https://scout.docker.com/v/CVE-2023-44487
  Affected range  : <4.1.100
  Fixed version   : 4.1.100.Final
  CVSS Score      : 7.5
  CVSS Vector     : CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
... (cropped output) ...

GitHub Action

uses: docker/scout-action@v1
with:
  command: cves
  image: [IMAGE]
  only-cisa-kev: true

新增新的分類器
- spiped
- swift
- eclipse-mosquitto
- znc

錯誤修正和增強功能

允許在沒有子元件時進行 VEX 匹配。
修正附加無效 VEX 文件時發生的嚴重錯誤。
修正 SPDX 文件根目錄。
修正映像檔使用 SCRATCH 作為基礎映像檔時的基礎映像檔偵測。

1.10.0

2024-06-26

錯誤修正和增強功能

新增新的分類器
- irssi
- Backdrop
- CrateDB CLI (Crash)
- monica
- Openliberty
- dumb-init
- friendica
- redmine
修正僅含空格的來源程式碼，導致套件中斷 BuildKit 匯出器
修正解析具有摘要的映像檔之 SPDX 陳述式中的映像檔參考

支援映像檔比較中的 sbom:// 前綴

CLI

$ docker scout compare sbom://image1.json --to sbom://image2.json

GitHub Action

uses: docker/scout-action@v1
with:
  command: compare
  image: sbom://image1.json
  to: sbom://image2.json

1.9.3

2024-05-28

錯誤修正

修正擷取快取 SBOM 時發生的嚴重錯誤。

1.9.1

2024-05-27

新增

在 docker scout cves 命令中使用 --format gitlab 支援GitLab 容器掃描檔案格式

   docker-build:
  # Use the official docker image.
  image: docker:cli
  stage: build
  services:
    - docker:dind
  variables:
    DOCKER_IMAGE_NAME: $CI_REGISTRY_IMAGE:$CI_COMMIT_REF_SLUG
  before_script:
    - docker login -u "$CI_REGISTRY_USER" -p "$CI_REGISTRY_PASSWORD" $CI_REGISTRY

    # Install curl and the Docker Scout CLI
    - |
      apk add --update curl
      curl -sSfL https://raw.githubusercontent.com/docker/scout-cli/main/install.sh | sh -s --
      apk del curl
      rm -rf /var/cache/apk/*      
    # Login to Docker Hub required for Docker Scout CLI
    - echo "$DOCKER_HUB_PAT" | docker login --username "$DOCKER_HUB_USER" --password-stdin

  # All branches are tagged with $DOCKER_IMAGE_NAME (defaults to commit ref slug)
  # Default branch is also tagged with `latest`
  script:
    - docker buildx b --pull -t "$DOCKER_IMAGE_NAME" .
    - docker scout cves "$DOCKER_IMAGE_NAME" --format gitlab --output gl-container-scanning-report.json
    - docker push "$DOCKER_IMAGE_NAME"
    - |
      if [[ "$CI_COMMIT_BRANCH" == "$CI_DEFAULT_BRANCH" ]]; then
        docker tag "$DOCKER_IMAGE_NAME" "$CI_REGISTRY_IMAGE:latest"
        docker push "$CI_REGISTRY_IMAGE:latest"
      fi      
  # Run this job in a branch where a Dockerfile exists
  rules:
    - if: $CI_COMMIT_BRANCH
      exists:
        - Dockerfile
  artifacts:
    reports:
      container_scanning: gl-container-scanning-report.json

錯誤修正和增強功能

在 docker scout attest add 命令中支援單架構映像檔
如果映像來源不是使用 mode=max 建立的，請在 docker scout quickview 和 docker scout recommendations 指令中註明。如果沒有 mode=max，基礎映像可能會被錯誤偵測，導致結果準確度降低。

1.9.0

2024-05-24

已捨棄，改用 1.9.1。

1.8.0

2024-04-25

錯誤修正和增強功能

改進 EPSS 分數和百分位數的格式。

之前

EPSS Score      : 0.000440
EPSS Percentile : 0.092510

之後

EPSS Score      : 0.04%
EPSS Percentile : 9th percentile

修正使用 docker scout cves 指令分析本機檔案系統時 Markdown 輸出的問題。docker/scout-cli#113

1.7.0

2024-04-15

新增

docker scout push 指令現已完整提供：在本機分析映像並將 SBOM 推送到 Docker Scout。

錯誤修正和增強功能

修正使用 docker scout attestation add 將證明新增至私有儲存庫中的映像的問題
修正基於空 scratch 基礎映像的映像處理問題
Docker Scout CLI 指令新增了一個 sbom:// 協定，讓您可以從標準輸入讀取 Docker Scout SBOM。
$ docker scout sbom IMAGE | docker scout qv sbom://
新增 Joomla 套件的分類器

1.6.4

2024-03-26

錯誤修正和增強功能

修正基於 RPM 的 Linux 發行版的 epoch 處理問題

1.6.3

2024-03-22

錯誤修正和增強功能

改進套件偵測，忽略被參考但未安裝的套件。

1.6.2

2024-03-22

錯誤修正和增強功能

EPSS 資料現在透過後端擷取，而不是透過 CLI 用戶端。
修正使用 sbom:// 前綴呈現 Markdown 輸出時發生的問題。

已移除

docker scout cves --epss-date 和 docker scout cache prune --epss 旗標已被移除。

1.6.1

2024-03-20

注意
此版本僅影響 docker/scout-action GitHub Action。

新增

新增支援以 SDPX 或 in-toto SDPX 格式傳入 SBOM 檔案

uses: docker/scout-action@v1
with:
    command: cves
    image: sbom://alpine.spdx.json

新增支援 syft-json 格式的 SBOM 檔案

uses: docker/scout-action@v1
with:
    command: cves
    image: sbom://alpine.syft.json

1.6.0

2024-03-19

注意
此版本僅影響 CLI 外掛程式，不影響 GitHub Action

新增

新增支援以 SDPX 或 in-toto SDPX 格式傳入 SBOM 檔案
$ docker scout cves sbom://path/to/sbom.spdx.json

新增支援 syft-json 格式的 SBOM 檔案

$ docker scout cves sbom://path/to/sbom.syft.json

從標準輸入讀取 SBOM 檔案

$ syft -o json alpine | docker scout cves sbom://

依 EPSS 分數排列 CVE 的優先順序
- 使用 --epss 顯示 CVE 並排列其優先順序
- 使用 --epss-score 和 --epss-percentile 依分數和百分位數篩選
- 使用 docker scout cache prune --epss 清除快取的 EPSS 檔案

錯誤修正和增強功能

使用 WSL2 的 Windows 快取
在執行 Docker Desktop 的 WSL2 中，Docker Scout CLI 外掛程式現在使用 Windows 的快取。如此一來，如果映像已由 Docker Desktop 建立索引，則無需在 WSL2 端重新建立索引。
如果已使用設定管理功能停用索引功能，則現在會在 CLI 中封鎖索引功能。
修正分析單一映像 oci-dir 輸入時發生的 panic 問題
使用 containerd 映像存放區改進本機證明支援

早期版本

Docker Scout CLI 外掛程式早期版本的版本資訊可在 GitHub

編輯此頁面要求變更