管理漏洞例外

目录

在容器镜像中发现的漏洞有时需要额外的上下文。镜像包含易受攻击的软件包,并不意味着该漏洞是可利用的。Docker Scout 中的**例外**允许您确认已接受的风险或解决镜像分析中的误报。

通过否定不适用的漏洞,您可以让您自己以及镜像的下游消费者更容易理解漏洞在镜像上下文中的安全影响。

在 Docker Scout 中,例外会自动纳入结果考虑。如果镜像包含将某个 CVE 标记为不适用的例外,则该 CVE 将从分析结果中排除。

创建例外

要为镜像创建例外,您可以

  • 在 Docker Scout 控制面板或 Docker Desktop 的GUI中创建例外。
  • 创建VEX文档并将其附加到镜像。

推荐创建例外的方式是使用 Docker Scout 控制面板或 Docker Desktop。GUI 提供了一个用户友好的界面来创建例外。它还允许您一次为多个镜像或整个组织创建例外。

查看例外

要查看镜像的例外,您需要拥有相应的权限。

  • 使用 GUI 创建的例外对您的 Docker 组织成员可见。未认证的用户或非您组织成员的用户无法看到这些例外。
  • 使用 VEX 文档 创建的例外对任何可以拉取镜像的人可见,因为 VEX 文档存储在镜像清单或镜像的文件系统中。

在 Docker Scout 控制面板或 Docker Desktop 中查看例外

Docker Scout 控制面板中“漏洞”页面上的**例外**选项卡列出您组织中所有镜像的所有例外。在此处,您可以查看每个例外的更多详细信息、被抑制的 CVE、例外适用的镜像、例外类型及其创建方式等。

对于使用 GUI 创建的例外,选择操作菜单可以编辑或移除例外。

要查看特定镜像标签的所有例外

  1. 转到镜像页面
  2. 选择您要检查的标签。
  3. 打开**例外**选项卡。
  1. 在 Docker Desktop 中打开**镜像**视图。
  2. 打开**Hub**选项卡。
  3. 选择您要检查的标签。
  4. 打开**例外**选项卡。

在 CLI 中查看例外

可用性: 实验性
要求: Docker Scout CLI 1.15.0 及更高版本

当您运行 docker scout cves <image> 时,漏洞例外会在 CLI 中高亮显示。如果某个 CVE 被例外抑制,则在 CVE ID 旁边会出现 SUPPRESSED 标签。还会显示例外的详细信息。

SUPPRESSED label in the CLI output

重要提示

要在 CLI 中查看例外,您必须配置 CLI 使用与创建例外时相同的 Docker 组织。

要为 CLI 配置组织,运行

$ docker scout configure organization <organization>

<organization> 替换为您的 Docker 组织名称。

您也可以使用 --org 标志为每个命令设置组织

$ docker scout cves --org <organization> <image>

要从输出中排除被抑制的 CVE,使用 --ignore-suppressed 标志

$ docker scout cves --ignore-suppressed <image>
页面选项