咨询数据库来源和匹配服务

可靠的信息来源是 Docker Scout 能够提供与软件工件相关且准确的评估的关键。鉴于行业中来源和方法的多样性，漏洞评估结果的差异可能发生，而且确实发生了。本页描述了 Docker Scout 咨询数据库及其 CVE 到软件包匹配方法如何处理这些差异。

咨询数据库来源

Docker Scout 从多个来源聚合漏洞数据。数据会不断更新，以确保使用最新的可用信息实时表示您的安全态势。

Docker Scout 使用以下软件包存储库和安全跟踪器

• Alpine secdb
• AlmaLinux 安全咨询
• Amazon Linux 安全中心
• Bitnami 漏洞数据库
• CISA 已知利用漏洞目录
• CISA Vulnrichment
• Debian 安全漏洞跟踪器
• 漏洞预测评分系统 (EPSS)
• GitHub 咨询数据库
• GitLab 咨询数据库
• Golang VulnDB
• inTheWild，一个社区驱动的漏洞利用公开数据库
• 国家漏洞数据库
• Oracle Linux 安全
• Python 软件包咨询数据库
• RedHat 安全数据
• Rocky Linux 安全咨询
• RustSec 咨询数据库
• SUSE 安全 CVRF
• Ubuntu CVE 跟踪器
• Wolfi 安全提要
• Chainguard 安全提要

为您的 Docker 组织启用 Docker Scout 时，将在 Docker Scout 平台上预配一个新的数据库实例。数据库存储软件物料清单 (SBOM) 和关于您的镜像的其他元数据。当安全咨询包含有关漏洞的新信息时，会将您的 SBOM 与 CVE 信息交叉引用以检测它如何影响您。

有关镜像分析工作原理的更多详细信息，请参阅镜像分析页面。

漏洞匹配

传统工具通常依赖于广泛的通用产品枚举 (CPE) 匹配，这会导致许多误报。

Docker Scout 使用软件包 URL (PURL) 将软件包与 CVE 进行匹配，从而更准确地识别漏洞。PURL 显着降低了误报的可能性，只关注真正受影响的软件包。

支持的软件包生态系统

Docker Scout 支持以下软件包生态系统

• .NET
• GitHub 软件包
• Go
• Java
• JavaScript
• PHP
• Python
• RPM
• Ruby
• alpm (Arch Linux)
• apk (Alpine Linux)
• deb (Debian Linux 及其衍生产品)