docker scout cves
| 描述 | 显示软件工件中识别的 CVE |
|---|---|
| 用法 | docker scout cves [OPTIONS] [IMAGE|DIRECTORY|ARCHIVE] |
描述
该docker scout cves命令分析软件工件是否存在漏洞。
如果未指定图像,则使用最近构建的图像。
支持以下工件类型:
- 图片
- OCI 布局目录
- Tarball 档案,由以下人员创建
docker save - 本地目录或文件
默认情况下,该工具需要图像参考,例如:
rediscurlimages/curl:7.87.0mcr.microsoft.com/dotnet/runtime:7.0
如果您要分析的工件是 OCI 目录、tarball 存档、本地文件或目录,或者如果您想控制解析图像的位置,则必须在引用中添加以下前缀之一:
image://(默认)使用本地映像,或回退到注册表查找local://使用本地图像存储中的图像(不进行注册表查找)registry://使用注册表中的映像(不要使用本地映像)oci-dir://使用 OCI 布局目录archive://使用 tarball 存档,由以下人员创建docker savefs://使用本地目录或文件sbom://SPDX 文件或带有 SPDX 谓词的整体证明文件或syftjson SBOM 文件 在前缀的情况下sbom://,如果文件未定义,则它将尝试从标准输入读取它。
选项
| 选项 | 默认 | 描述 |
|---|---|---|
--details | 在默认文本输出上打印详细信息 | |
--env | 环境名称 | |
--epss | 显示 EPSS 分数并根据其 EPSS 分数组织包的 CVE | |
--epss-percentile | 排除 EPSS 分数低于指定百分位数(0 到 1)的 CVE | |
--epss-score | 排除 EPSS 分数小于指定值(0 到 1)的 CVE | |
-e, --exit-code | 如果检测到漏洞,则返回退出代码“2” | |
--format | packages | 生成的漏洞报告的输出格式: - packages:默认输出,按包分组的纯文本漏洞 - sarif:json Sarif 输出 - spdx:json SPDX 输出 - markdown:markdown 输出(包括一些 html 标签,如可折叠部分) - sbom: json SBOM 输出 |
--ignore-base | 过滤掉从基础镜像引入的CVE | |
--locations | 打印包位置,包括文件路径和层 diff_id | |
--multi-stage | 显示多阶段 Docker 构建的包 | |
--only-cve-id | 要搜索的以逗号分隔的 CVE ID 列表(例如 CVE-2021-45105) | |
--only-fixed | 过滤可修复的 CVE | |
--only-metric | 逗号分隔的 CVSS 指标列表(如 AV:N 或 PR:L),用于过滤 CVE | |
--only-package | 逗号分隔的正则表达式用于过滤包 | |
--only-package-type | 逗号分隔的包类型列表(如 apk、deb、rpm、npm、pypi、golang 等) | |
--only-severity | 以逗号分隔的严重性列表(严重、高、中、低、未指定),用于按以下条件筛选 CVE | |
--only-stage | 多阶段 Docker 构建阶段名称的逗号分隔列表 | |
--only-unfixed | 过滤到未修复的 CVE | |
--only-vex-affected | 通过 VEX 语句过滤 CVE,状态不受影响 | |
--only-vuln-packages | 与 --format=only-packages 一起使用时,忽略没有漏洞的包 | |
--org | Docker组织的命名空间 | |
-o, --output | 将报告写入文件 | |
--platform | 图像分析平台 | |
--ref | 如果提供的 tarball 包含多个引用,则要使用的引用。 只能与存档一起使用 | |
--vex-author | 接受的VEX声明作者列表 | |
--vex-location | 包含 VEX 语句的目录或文件的文件位置 |
例子
显示按包分组的漏洞
$ docker scout cves alpine
Analyzing image alpine
✓ Image stored for indexing
✓ Indexed 18 packages
✓ No vulnerable package detected
显示 docker save tarball 中的漏洞
$ docker save alpine > alpine.tar
$ docker scout cves archive://alpine.tar
Analyzing archive alpine.tar
✓ Archive read
✓ SBOM of image already cached, 18 packages indexed
✓ No vulnerable package detected
显示 OCI 目录中的漏洞
$ skopeo copy --override-os linux docker://alpine oci:alpine
$ docker scout cves oci-dir://alpine
Analyzing OCI directory alpine
✓ OCI directory read
✓ Image stored for indexing
✓ Indexed 19 packages
✓ No vulnerable package detected
显示当前目录中的漏洞
$ docker scout cves fs://.
将漏洞导出到 SARIF JSON 文件
$ docker scout cves --format sarif --output alpine.sarif.json alpine
Analyzing image alpine
✓ SBOM of image already cached, 18 packages indexed
✓ No vulnerable package detected
✓ Report written to alpine.sarif.json
显示Markdown输出
以下示例展示了如何以 markdown 形式生成漏洞报告。
$ docker scout cves --format markdown alpine
✓ Pulled
✓ SBOM of image already cached, 19 packages indexed
✗ Detected 1 vulnerable package with 3 vulnerabilities
<h2>:mag: Vulnerabilities of <code>alpine</code></h2>
<details open="true"><summary>:package: Image Reference</strong> <code>alpine</code></summary>
<table>
<tr><td>digest</td><td><code>sha256:e3bd82196e98898cae9fe7fbfd6e2436530485974dc4fb3b7ddb69134eda2407</code></td><tr><tr><td>vulnerabilities</td><td><img alt="critical: 0" src="https://img.shields.io/badge/critical-0-lightgrey"/> <img alt="high: 0" src="https://img.shields.io/badge/high-0-lightgrey"/> <img alt="medium: 2" src="https://img.shields.io/badge/medium-2-fbb552"/> <img alt="low: 0" src="https://img.shields.io/badge/low-0-lightgrey"/> <img alt="unspecified: 1" src="https://img.shields.io/badge/unspecified-1-lightgrey"/></td></tr>
<tr><td>platform</td><td>linux/arm64</td></tr>
<tr><td>size</td><td>3.3 MB</td></tr>
<tr><td>packages</td><td>19</td></tr>
</table>
</details></table>
</details>
...
列出特定类型的所有易受攻击的包
以下示例展示了如何生成包列表,仅包含指定类型的包,并且仅显示易受攻击的包。
$ docker scout cves --format only-packages --only-package-type golang --only-vuln-packages golang:1.18.0
✓ Pulled
✓ SBOM of image already cached, 296 packages indexed
✗ Detected 1 vulnerable package with 40 vulnerabilities
Name Version Type Vulnerabilities
───────────────────────────────────────────────────────────
stdlib 1.18 golang 2C 29H 8M 1L
显示 EPSS 分数 (--epss)
该--epss标志将
利用预测评分系统 (EPSS)
分数添加到docker scout cves输出中。 EPSS 分数是对软件漏洞在未来 30 天内被广泛利用的可能性(概率)的估计。分数越高,漏洞被利用的可能性就越大。
$ docker scout cves --epss nginx
✓ Provenance obtained from attestation
✓ SBOM obtained from attestation, 232 packages indexed
✓ Pulled
✗ Detected 23 vulnerable packages with a total of 39 vulnerabilities
...
✗ HIGH CVE-2023-52425
https://scout.docker.com/v/CVE-2023-52425
Affected range : >=2.5.0-1
Fixed version : not fixed
EPSS Score : 0.000510
EPSS Percentile : 0.173680
EPSS Score是一个介于 0 和 1 之间的浮点数,表示未来 30 天内在野外被利用的概率(分数发布后)。EPSS Percentile是当前得分的百分位数,即具有相同或较低 EPSS 得分的所有得分漏洞的比例。
您可以使用--epss-score和标志根据这些分数--epss-percentile过滤输出。docker scout cves例如,仅显示 EPSS 分数高于 0.5 的漏洞:
$ docker scout cves --epss --epss-score 0.5 nginx
✓ SBOM of image already cached, 232 packages indexed
✓ EPSS scores for 2024-03-01 already cached
✗ Detected 1 vulnerable package with 1 vulnerability
...
✗ LOW CVE-2023-44487
https://scout.docker.com/v/CVE-2023-44487
Affected range : >=1.22.1-9
Fixed version : not fixed
EPSS Score : 0.705850
EPSS Percentile : 0.979410
EPSS 分数每天更新。默认情况下,显示最新的可用分数。您可以使用该--epss-date标志以格式手动指定yyyy-mm-dd用于获取 EPSS 分数的日期。
$ docker scout cves --epss --epss-date 2024-01-02 nginx
列出 SPDX 文件中的漏洞
以下示例演示如何使用 .SPDX 文件生成漏洞列表syft。
$ syft -o spdx-json alpine:3.16.1 | docker scout cves sbom://
✔ Pulled image
✔ Loaded image alpine:3.16.1
✔ Parsed image sha256:3d81c46cd8756ddb6db9ec36fa06a6fb71c287fb265232ba516739dc67a5f07d
✔ Cataloged contents 274a317d88b54f9e67799244a1250cad3fe7080f45249fa9167d1f871218d35f
├── ✔ Packages [14 packages]
├── ✔ File digests [75 files]
├── ✔ File metadata [75 locations]
└── ✔ Executables [16 executables]
✗ Detected 2 vulnerable packages with a total of 11 vulnerabilities