Docker Scout 发行说明

此页面包含有关 Docker Scout 版本中的新功能、改进、已知问题和错误修复的信息。这些发行说明涵盖了 Docker Scout 平台，包括仪表板。有关 CLI 发行说明，请参阅 Docker Scout CLI 发行说明。

查看 Docker 公共路线图 ，了解接下来的发展。

2024 年第一季度

2024 年第一季度发布的新功能和增强功能。

2024-03-29

高调漏洞策略现在报告xz后门漏洞 CVE-2024-3094。 Docker 组织中包含带有后门版本的任何映像都xz/liblzma将不符合高调漏洞 策略。

2024-03-20

可修复的严重漏洞和高漏洞策略现在支持 仅可修复漏洞配置选项，该选项允许您决定是否仅标记具有可用修复版本的漏洞。

2024-03-14

所有严重漏洞策略已被删除。可修复的严重和高漏洞策略提供了类似的功能，并将在将来进行更新以允许更广泛的自定义，从而使现已删除的所有严重漏洞策略变得多余。

2024-01-26

Azure 容器注册表集成已从 抢先体验升级为 全面可用。

有关详细信息和设置说明，请参阅 集成 Azure 容器注册表。

2024-01-23

新的未经批准的基础映像策略，可让您限制在构建中允许使用的基础映像。您可以使用模式定义允许的基础图像。图像引用与指定模式不匹配的基础图像会导致策略失败。

有关更多信息，请参阅 未批准的基础映像。

2024-01-12

新的默认非 root 用户root策略，该策略标记默认情况下将以具有完整系统管理权限的超级用户身份运行的映像 。为映像指定非 root 默认用户可以帮助增强运行时安全性。

有关详细信息，请参阅 默认非 root 用户。

2024-01-11

测试版发布了新的 GitHub 应用程序，用于将 Docker Scout 与源代码管理集成，以及帮助您提高策略合规性的修复功能。

修复是 Docker Scout 的一项新功能，可根据有关如何提高合规性的策略评估结果提供上下文建议的操作。

GitHub 集成增强了修复功能。启用集成后，Docker Scout 能够将分析结果连接到源。有关如何构建图像的附加上下文用于生成更好、更精确的建议。

有关 Docker Scout 可以提供的建议类型的更多信息，以帮助您提高策略合规性，请参阅 修复。

有关如何在源存储库上授权 Docker Scout GitHub 应用程序的更多信息，请参阅将 Docker Scout 与 GitHub 集成。

2023 年第四季度

2023 年第四季度发布的新功能和增强功能。

2023-12-20

Azure 容器注册表集成已从 测试版升级为 早期访问版。

有关详细信息和设置说明，请参阅 集成 Azure 容器注册表。

2023-12-06

新的 SonarQube集成和相关政策。 SonarQube 是一个用于持续检查代码质量的开源平台。通过此集成，您可以将 SonarQube 的质量门添加为 Docker Scout 中的策略评估。启用集成，推送图像，并查看新 质量门通过政策中显示的 SonarQube 质量门条件。

有关更多信息，请参阅：

• 集成和设置说明
• 质量门通过政策

2023-12-01

新的Azure 容器注册表(ACR) 集成的Beta版本使 Docker Scout 自动提取和分析 ACR 存储库中的映像。

要了解有关集成以及如何开始的更多信息，请参阅 集成 Azure 容器注册表。

2023-11-21

新的可配置策略功能使您能够根据自己的喜好调整现成的策略，或者在它们不太符合您的需求时完全禁用它们。如何为您的组织调整策略的一些示例包括：

• 更改漏洞相关策略使用的严重性阈值
• 自定义“备受瞩目的漏洞”列表
• 添加或删除软件许可证以标记为“copyleft”

有关更多信息，请参阅 可配置策略。

2023-11-10

新的供应链证明政策可帮助您跟踪您的图像是否是使用 SBOM 和出处证明构建的。向图像添加证明是改善供应链行为的良好第一步，并且通常是开展更多工作的先决条件。

有关详细信息，请参阅 供应链证明政策。

2023-11-01

新的高调漏洞策略，可确保您的工件不存在被广泛认为有风险的精选漏洞列表。

有关详细信息，请参阅 备受瞩目的漏洞政策。

2023-10-04

这标志着 Docker Scout 正式发布 (GA)。

此版本包含以下新功能：

• 政策评估（抢先体验）
• 亚马逊 ECR 集成
• 系统挖掘集成
• JFrog Artifactory 集成

政策评估

策略评估是一项早期访问功能，可帮助您确保软件完整性并跟踪您的工件随时间的变化情况。此版本附带四个现成的策略，默认情况下为所有组织启用。

• 基础镜像不是最新的评估基础镜像是否已过时并需要更新。最新的基础映像可帮助您确保您的环境可靠且安全。
• 具有修复功能的严重和高度漏洞会报告您的映像中是否存在严重或高度严重的漏洞，以及是否存在可以升级到的可用修复版本。
• 所有严重漏洞都会查找图像中发现的任何严重程度严重的漏洞。
• 带有 AGPLv3、GPLv3 许可证的软件包可帮助您捕获图像中可能不需要的 Copyleft 许可证。

您可以使用 Docker Scout Dashboard 和docker scout policyCLI 命令查看和评估映像的策略状态。有关更多信息，请参阅 策略评估文档。

亚马逊 ECR 集成

新的 Amazon Elastic Container Registry (ECR) 集成支持对 ECR 存储库中托管的图像进行图像分析。

您可以使用预配置的 CloudFormation 堆栈模板来设置集成，该模板会引导您账户中必要的 AWS 资源。 Docker Scout 会自动分析您推送到注册表的镜像，仅存储有关镜像内容的元数据，而不存储容器镜像本身。

该集成提供了一个简单的过程，用于添加其他存储库、为特定存储库激活 Docker Scout 以及在需要时删除集成。要了解更多信息，请参阅 Amazon ECR 集成文档。

系统挖掘集成

新的 Sysdig 集成为您提供 Kubernetes 运行时环境的实时安全洞察。

启用此集成可帮助您解决用于运行生产工作负载的映像的风险并确定其优先级。它还可以使用 VEX 文档自动排除从未加载到内存中的程序中的漏洞，从而有助于减少监控噪音。

有关更多信息和入门，请参阅 Sysdig 集成文档。

JFrog Artifactory 集成

新的 JFrog Artifactory 集成支持对 Artifactory 注册表进行自动图像分析。

集成涉及部署 Docker Scout Artifactory 代理，该代理轮询新图像、执行分析并将结果上传到 Docker Scout，同时保留图像数据的完整性。在Artifactory 集成文档中了解更多信息

已知的限制

• 图像分析仅适用于 Linux 图像
• Docker Scout 无法处理压缩后大小超过 12GB 的图像
• 创建图像SBOM（图像分析的一部分）的超时限制为4分钟