管理漏洞例外

目录

在容器镜像中发现的漏洞有时需要额外的上下文。仅仅因为镜像包含了一个易受攻击的包,并不意味着该漏洞可以被利用。Docker Scout 中的例外允许您确认已接受的风险或解决镜像分析中的误报。

通过否定不适用漏洞,您可以更容易地让自己和您的镜像的下游消费者理解漏洞在镜像上下文中的安全影响。

在Docker Scout中,异常会自动纳入结果中。 如果镜像包含一个将CVE标记为不适用的异常, 那么该CVE将从分析结果中排除。

创建异常

要为图像创建异常,您可以:

  • 在Docker Scout仪表板或Docker Desktop的 GUI中创建一个异常。
  • 创建一个 VEX 文档并将其附加到图像上。

创建例外的推荐方法是使用Docker Scout仪表板或Docker Desktop。图形用户界面提供了一个用户友好的界面来创建例外。它还允许您一次为多个镜像或整个组织创建例外。

查看异常

要查看图像的异常情况,您需要拥有适当的权限。

  • 创建的异常 使用图形用户界面 对您的Docker组织成员可见。未经身份验证的用户或 不是您组织成员的用户无法看到这些异常。
  • 使用VEX文档创建的异常 使用VEX文档 对任何可以拉取镜像的人都是可见的,因为VEX文档存储在镜像清单或镜像的文件系统中。

在 Docker Scout 仪表板或 Docker Desktop 中查看异常

Docker Scout仪表板中的Exceptions标签列出了您组织中所有镜像的所有例外情况。从这里,您可以查看每个例外情况的更多详细信息,包括被抑制的CVE、例外情况适用的镜像、例外类型及其创建方式等。

对于使用 GUI 创建的异常,选择操作菜单可以让你编辑或删除异常。

查看特定镜像标签的所有异常:

  1. 转到 镜像页面
  2. 选择您想要检查的标签。
  3. 打开Exceptions标签。
  1. 在 Docker Desktop 中打开 Images 视图。
  2. 打开Hub标签。
  3. 选择您想要检查的标签。
  4. 打开异常标签。

在CLI中查看异常

实验性

在CLI中查看异常是一项实验性功能。 它需要最新版本的Docker Scout CLI插件。 某些异常可能无法在CLI中正确显示。

当您运行docker scout cves 时,CLI中会突出显示漏洞例外。如果CVE被例外抑制,CVE ID旁边会出现SUPPRESSED标签。还会显示有关例外的详细信息。

SUPPRESSED label in the CLI output

重要

为了在CLI中查看异常,您必须配置CLI以使用与创建异常时相同的Docker组织。

要为CLI配置组织,请运行:

$ docker scout configure organization <organization>

替换为您的 Docker 组织名称。

你也可以通过使用--org标志在每个命令的基础上设置组织:

$ docker scout cves --org <organization> <image>

要从输出中排除被抑制的CVE,请使用--ignore-suppressed标志:

$ docker scout cves --ignore-suppressed <image>