Docker Scout 健康评分
Docker Scout 健康评分对 Docker Hub 上的镜像进行安全评估和总体供应链健康评估,帮助您确定镜像是否符合既定的安全最佳实践。评分范围从 A 到 F,其中 A 代表最高安全级别,F 代表最低安全级别,提供了镜像安全状况的直观视图。
只有拥有仓库所有权的组织成员,并且至少具有该仓库的“读取”权限,才能查看健康评分。组织外部用户或没有“读取”权限的成员无法看到此评分。
查看健康评分
在 Docker Hub 中查看镜像健康评分
- 访问 Docker Hub 并登录。
- 导航到您组织的页面。
在仓库列表中,您可以根据最新推送的标签查看每个仓库的健康评分。
在 Docker Desktop 中查看镜像健康评分
- 打开 Docker Desktop 并登录您的 Docker 账户。
- 导航到 镜像 (Images) 视图并选择 Hub 选项卡。
在仓库列表中,健康 (Health) 列显示了已推送到 Docker Hub 的不同标签的评分。
健康评分徽章使用颜色编码表示仓库的整体健康状况
- 绿色:评分 A 或 B。
- 黄色:评分 C。
- 橙色:评分 D。
- 红色:评分 E 或 F。
- 灰色:N/A 评分。
该评分也显示在给定仓库的 Docker Hub 页面上,以及贡献该评分的各个策略。
评分系统
健康评分是通过根据 Docker Scout 策略评估镜像来确定的。这些策略与软件供应链的最佳实践保持一致。
如果您的镜像仓库已注册到 Docker Scout,健康评分将根据您组织启用的策略自动计算。这还包括您配置的任何自定义策略。
如果您未使用 Docker Scout,健康评分将显示您的镜像与默认策略的合规性,默认策略是 Docker 推荐的一组作为镜像基础标准的供应链规则。您可以为您的组织启用 Docker Scout 并编辑策略配置,以根据您的特定策略获得更相关的健康评分。
评分过程
每个策略根据其类型被分配一个分值。如果镜像符合某个策略,则会被授予该策略类型的分值。镜像的健康评分根据相对于总可能得分的百分比来计算。
评估镜像的策略合规性。
根据策略合规性授予分数。
计算获得的百分比分数
Percentage = (Points / Total) * 100根据获得的百分比分数分配最终评分,如下表所示
百分比分数(占总分) 评分 高于 90% A 71% 到 90% B 51% 到 70% C 31% 到 50% D 11% 到 30% E 低于 10% F
N/A 评分
镜像也可能被分配 N/A 评分,这可能发生在以下情况:
- 镜像大于 4GB(压缩后大小)。
- 镜像架构不是
linux/amd64或linux/arm64。 - 镜像太旧,没有新的数据用于评估。
如果您看到 N/A 评分,请考虑以下事项:
- 如果镜像太大,请尝试减小镜像大小。
- 如果镜像的架构不受支持,请针对支持的架构重建镜像。
- 如果镜像太旧,请推送新标签以触发新的评估。
策略权重
不同的策略类型具有不同的权重,这会影响评估期间分配给镜像的评分,如下表所示。
| 策略类型 | 分数 |
|---|---|
| 基于严重性的漏洞 | 20 |
| 高关注度漏洞 | 20 |
| 供应链证明 | 15 |
| 批准的基础镜像 | 15 |
| 最新的基础镜像 | 10 |
| SonarQube 质量门 * | 10 |
| 默认非 Root 用户 | 5 |
| 合规许可证 | 5 |
* 此策略默认未启用,必须由用户配置。
评估
启用此功能后,将为推送到 Docker Hub 的新镜像计算健康评分。健康评分有助于您保持高安全标准,并确保您的应用程序构建在安全可靠的镜像上。
仓库评分
除了单个镜像评分(按标签或摘要)外,每个仓库还会根据最新推送的标签获得健康评分,从而提供仓库安全状态的整体视图。
示例
对于总可能得分为 100 分的镜像
- 如果镜像仅偏离一项值为 5 分的策略,其得分将是 100 分中的 95 分。由于该分数高于 90%,因此该镜像获得 A 级健康评分。
- 如果镜像不符合更多策略,得分是 100 分中的 65 分,则获得 C 级健康评分,反映了较低的合规性。
提高健康评分
要提高镜像的健康评分,请采取措施确保镜像符合 Docker Scout 推荐的策略。
- 前往Docker Scout 仪表盘。
- 使用您的 Docker ID 登录。
- 前往仓库设置并为您的 Docker Hub 镜像仓库启用 Docker Scout。
- 分析您仓库的策略合规性,并采取措施确保您的镜像符合策略。
由于策略权重不同,请优先处理得分最高的策略,以对您的镜像总评分产生更大影响。