使用 Docker Scout 进行修复
测试版功能
Docker Scout 修复目前处于 Beta 阶段。
Docker Scout 根据策略评估结果提供建议,帮助您修复供应链或安全问题。建议是您可以采取的建议操作,这些操作可以提高策略合规性,或者向映像添加元数据,从而使 Docker Scout 能够提供更好的评估结果和建议。
Docker Scout 为以下策略提供修复建议:
对于违反政策的图像,建议重点关注解决合规性问题和修复违规行为。对于 Docker Scout 无法确定合规性的映像,建议向您展示如何满足先决条件,以确保 Docker Scout 可以成功评估策略。
查看推荐
建议显示在 Docker Scout 仪表板的策略详细信息页面上。要访问此页面:
- 转到 Docker Scout 仪表板中的策略页面。
- 在列表中选择一个策略。
策略详细信息页面根据策略状态将评估结果分组到两个不同的选项卡中:
- 违规行为
- 合规性未知
“违规”选项卡列出了不符合所选策略的图像。“合规性未知”选项卡列出了 Docker Scout 无法确定其合规性状态的映像。当合规性未知时,Docker Scout 需要有关映像的更多信息。
要查看图像的建议操作,请将鼠标悬停在列表中的图像之一上以显示“查看修复”按钮。
选择“查看修复”按钮可打开修复侧面板,其中包含针对您的图像的建议操作。
如果有多个可用建议,则主要建议将显示为推荐修复。其他建议列为“快速修复”。快速修复通常是提供临时解决方案的操作。
侧面板还可以包含与可用建议相关的一个或多个帮助部分。
过时的基础镜像修复
过时的基础映像策略会检查您使用的基础映像是否是最新的。修复侧面板中显示的建议操作取决于 Docker Scout 拥有有关您的映像的信息量。可用的信息越多,推荐就越好。
以下场景根据图像的可用信息概述了不同的建议。
没有出处证明
为了使 Docker Scout 能够评估此策略,您必须 向映像添加来源证明。如果您的图像没有出处证明,则无法确定合规性。
提供出处证明
添加来源证明后,Docker Scout 可以正确检测您正在使用的基础映像版本。证明中找到的版本与相应标签的当前版本进行交叉引用,以确定它是否是最新的。
如果存在策略违规,建议的操作将显示如何将基础映像版本更新到最新版本,同时还将基础映像版本固定到特定摘要。有关更多信息,请参阅 固定基础映像版本。
GitHub 集成已启用
如果您在 GitHub 上托管图像的源代码,则可以启用 GitHub 集成。这种集成使 Docker Scout 能够提供更有用的修复建议,并让您可以直接从 Docker Scout 仪表板启动违规修复。
启用 GitHub 集成后,您可以使用修复侧面板在图像的 GitHub 存储库上提出拉取请求。拉取请求会自动将 Dockerfile 中的基本映像版本更新为最新版本。
这种自动修复将您的基础映像固定到特定摘要,同时帮助您在新版本可用时保持最新状态。将基础映像固定到摘要对于可重复性非常重要,并且有助于避免不必要的更改进入您的供应链。
有关基础映像固定的更多信息,请参阅 固定基础映像版本。
供应链证明修复
供应链证明政策要求图像具有完整的出处和 SBOM 证明。如果您的图像缺少证明,或者证明未包含足够的信息,则违反了政策。
修复侧面板中提供的建议可帮助指导您需要采取哪些措施来解决问题。例如,如果您的映像具有出处证明,但该证明未包含足够的信息,则建议您使用出处重新构建图像
mode=max。