图片详情查看
图像详细信息视图显示了 Docker Scout 分析的详细信息。您可以从 Docker Scout 仪表板、Docker 桌面图像视图以及 Docker Hub 上的图像标签页面访问图像视图 。镜像详细信息显示了镜像层次结构(基础镜像)、镜像层、包和漏洞的详细信息。
Docker Desktop 首先在本地分析图像,并生成软件物料清单 (SBOM)。 Docker Desktop、Docker Hub 以及 Docker Scout 仪表板和 CLI 都使用 此 SBOM 中的包 URL (PURL) 链接 来查询 Docker Scout 咨询数据库中匹配的常见漏洞和暴露 (CVE) 。
图像层次结构
您检查的图像可能具有在 图像层次结构下表示的一个或多个基础图像。这意味着图像的作者在构建图像时使用了其他图像作为起点。通常,这些基础镜像要么是操作系统镜像(例如 Debian、Ubuntu 和 Alpine),要么是编程语言镜像(例如 PHP、Python 和 Java)。
选择链中的每个图像可以让您查看哪些图层源自每个基本图像。选择ALL行将选择所有图层和基础图像。
一个或多个基础映像可能有可用的更新,其中可能包括可消除映像中的漏洞的更新的安全补丁。具有可用更新的任何基础映像都会在映像层次结构的右侧注明。
层数
Docker 镜像由层组成。图像图层从上到下列出,最早的图层位于顶部,最新的图层位于底部。通常,列表顶部的层源自基础镜像,而底部的层由镜像作者添加,通常使用 Dockerfile 中的命令。在图像层次结构下选择基本图像 会突出显示源自基本图像的图层。
选择单个或多个层会过滤右侧的包和漏洞,以显示所选层添加的内容。
漏洞
“漏洞”选项卡显示在映像中检测到的漏洞和漏洞利用的列表。该列表按包分组,并按严重性顺序排序。
您可以通过展开列表项找到有关漏洞或利用的更多信息,包括是否有可用的修复程序。
补救建议
当您检查 Docker Desktop 或 Docker Hub 中的映像时,Docker Scout 可以提供提高该映像安全性的建议。
Docker Desktop 中的建议
要在 Docker Desktop 中查看映像的安全建议:
- 转到Docker Desktop 中的图像视图。
- 选择您想要查看推荐的图片标签。
- 在顶部附近,选择“推荐修复”下拉按钮。
通过下拉菜单,您可以选择是否要查看当前映像或用于构建该映像的任何基础映像的建议:
如果您正在查看的图像没有关联的基础图像,则下拉菜单仅显示用于查看当前图像的推荐的选项。
Docker Hub 中的推荐
要在 Docker Hub 中查看映像的安全建议:
进入已激活 Docker Scout 镜像分析的镜像的存储库页面。
打开标签选项卡。
选择您想要查看推荐的标签。
选择查看推荐的基本映像修复按钮。
这将打开一个窗口,其中为您提供建议,以便您可以通过使用更好的基础映像来提高映像的安全性。有关更多详细信息,请参阅 基础映像的建议。
当前图像的推荐
当前图像视图的建议可帮助您确定您正在使用的图像版本是否已过期。如果您使用的标签引用旧摘要,则视图会显示通过拉取最新版本来更新标签的建议。
选择拉取新映像按钮以获取更新版本。选中复选框以在拉取最新版本后删除旧版本。
基础镜像的推荐
基本图像推荐视图包含两个选项卡,用于在不同类型的推荐之间切换:
- 刷新基础镜像
- 更改基础镜像
仅当您是正在检查的图像的作者时,这些基本图像建议才可行。这是因为更改映像的基础映像需要您更新 Dockerfile 并重新构建映像。
刷新基础镜像
此选项卡显示所选基本映像标签是否是最新的可用版本,或者是否已过时。
如果用于构建当前映像的基本映像标记不是最新的,则两个版本之间的增量会显示在此窗口中。增量信息包括:
- 推荐(较新)版本的标签名称和别名
- 当前基础镜像版本的年龄
- 最新可用版本的年龄
- 影响每个版本的 CVE 数量
在窗口底部,您还会收到命令片段,您可以运行这些命令片段以使用最新版本重新构建映像。
更改基础镜像
此选项卡显示您可以使用的不同替代标签,并概述了每个标签版本的优点和缺点。选择基本映像会显示该标签的推荐选项。
例如,如果您正在检查的映像使用旧版本debian
作为基础映像,它会显示建议debian使用更新且更安全的版本。通过提供不止一种可供选择的替代方案,您可以亲自了解这些选项之间的比较情况,并决定使用哪一种。
选择标签推荐以查看该推荐的更多详细信息。它显示了该标签的优点和潜在缺点、推荐它的原因以及如何更新 Dockerfile 以使用该版本。