Docker Scout CLI 发布说明

目录

本页面包含有关Docker Scout新功能、改进、已知问题和错误修复的信息 CLI插件docker/scout-action GitHub Action

1.15.0

2024-10-31

  • 新增 --format=cyclonedx 标志,用于 docker scout sbom 以 CycloneDX 格式输出 SBOM。

增强功能

  • 对CVE摘要使用从高到低的排序顺序。
  • 支持启用和禁用通过docker scout pushdocker scout watch启用的仓库。

Bug 修复

  • 改进在分析没有证明的oci目录时的消息传递。 仅支持单平台镜像和带有证明的多平台镜像。 不支持没有证明的多平台镜像。
  • 改进分类器和SBOM索引器:
    • 为Liquibase lpm添加分类器。
    • 添加Rakudo Star/MoarVM二进制分类器。
    • 为silverpeas工具添加二进制分类器。
  • 改进使用containerd镜像存储的认证读取和缓存。

1.14.0

2024-09-24

  • docker scout cves命令中添加CVE级别的抑制信息。

Bug 修复

  • 修复列出悬空镜像的CVE,例如:local://sha256:...
  • 修复分析文件系统输入时的崩溃问题,例如使用docker scout cves fs://.

1.13.0

2024-08-05

  • docker scout quickviewdocker scout policydocker scout compare命令添加--only-policy过滤选项。
  • 添加 --ignore-suppressed 过滤选项到 docker scout cvesdocker scout quickview 命令中,以过滤掉受 exceptions 影响的 CVEs。

Bug修复和增强

  • 在检查中使用条件策略名称。

  • 添加支持以检测使用链接器标志设置的Go项目版本,例如:

    $ go build -ldflags "-X main.Version=1.2.3"

1.12.0

2024-07-31

  • 仅显示基础镜像中的漏洞:

    CLI
    $ docker scout cves --only-base IMAGE
    GitHub Action
    uses: docker/scout-action@v1
with:
  command: cves
  image: [IMAGE]
  only-base: true

  • quickview命令中考虑VEX。

    CLI
    $ docker scout quickview IMAGE --only-vex-affected --vex-location ./path/to/my.vex.json
    GitHub Action
    uses: docker/scout-action@v1
with:
  command: quickview
  image: [IMAGE]
  only-vex-affected: true
  vex-location: ./path/to/my.vex.json

  • cves命令中考虑VEX(GitHub Actions)。

    GitHub Action
    uses: docker/scout-action@v1
with:
  command: cves
  image: [IMAGE]
  only-vex-affected: true
  vex-location: ./path/to/my.vex.json

Bug fixes and enhancements

  • 更新 github.com/docker/dockerv26.1.5+incompatible 以修复 CVE-2024-41110。
  • 将Syft更新至1.10.0。

1.11.0

2024-07-25

  • 过滤列在CISA已知被利用漏洞目录中的CVE。

    CLI
    $ docker scout cves [IMAGE] --only-cisa-kev

... (cropped output) ...
## Packages and Vulnerabilities

0C     1H     0M     0L  io.netty/netty-codec-http2 4.1.97.Final
pkg:maven/io.netty/netty-codec-http2@4.1.97.Final

✗ HIGH CVE-2023-44487  CISA KEV  [OWASP Top Ten 2017 Category A9 - Using Components with Known Vulnerabilities]
  https://scout.docker.com/v/CVE-2023-44487
  Affected range  : <4.1.100
  Fixed version   : 4.1.100.Final
  CVSS Score      : 7.5
  CVSS Vector     : CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
... (cropped output) ...
    GitHub Action
    uses: docker/scout-action@v1
with:
  command: cves
  image: [IMAGE]
  only-cisa-kev: true

  • 添加新的分类器:

    • spiped
    • swift
    • eclipse-mosquitto
    • znc

Bug修复和增强

  • 在没有子组件时允许VEX匹配。
  • 修复在附加无效的VEX文档时出现的恐慌。
  • 修复SPDX文档根目录。
  • 修复当镜像使用SCRATCH作为基础镜像时的基础镜像检测。

1.10.0

2024-06-26

错误修复和增强功能

  • 添加新的分类器:

    • irssi
    • Backdrop
    • CrateDB CLI (Crash)
    • monica
    • Openliberty
    • dumb-init
    • friendica
    • redmine

  • 修复包中断BuildKit导出程序上的仅空白发起者

  • 修复在SPDX声明中解析带有摘要的图像的图像引用

  • 支持 sbom:// 前缀用于镜像比较:

    CLI
    $ docker scout compare sbom://image1.json --to sbom://image2.json
    GitHub Action
    uses: docker/scout-action@v1
with:
  command: compare
  image: sbom://image1.json
  to: sbom://image2.json

1.9.3

2024-05-28

Bug 修复

  • 修复在检索缓存的SBOM时出现的崩溃问题。

1.9.1

2024-05-27

  • 添加对GitLab容器扫描文件格式的支持,使用--format gitlabdocker scout cves命令中。

    这是一个示例管道:

       docker-build:
  # Use the official docker image.
  image: docker:cli
  stage: build
  services:
    - docker:dind
  variables:
    DOCKER_IMAGE_NAME: $CI_REGISTRY_IMAGE:$CI_COMMIT_REF_SLUG
  before_script:
    - docker login -u "$CI_REGISTRY_USER" -p "$CI_REGISTRY_PASSWORD" $CI_REGISTRY

    # Install curl and the Docker Scout CLI
    - |
      apk add --update curl
      curl -sSfL https://raw.githubusercontent.com/docker/scout-cli/main/install.sh | sh -s --
      apk del curl
      rm -rf /var/cache/apk/*      
    # Login to Docker Hub required for Docker Scout CLI
    - echo "$DOCKER_HUB_PAT" | docker login --username "$DOCKER_HUB_USER" --password-stdin

  # All branches are tagged with $DOCKER_IMAGE_NAME (defaults to commit ref slug)
  # Default branch is also tagged with `latest`
  script:
    - docker buildx b --pull -t "$DOCKER_IMAGE_NAME" .
    - docker scout cves "$DOCKER_IMAGE_NAME" --format gitlab --output gl-container-scanning-report.json
    - docker push "$DOCKER_IMAGE_NAME"
    - |
      if [[ "$CI_COMMIT_BRANCH" == "$CI_DEFAULT_BRANCH" ]]; then
        docker tag "$DOCKER_IMAGE_NAME" "$CI_REGISTRY_IMAGE:latest"
        docker push "$CI_REGISTRY_IMAGE:latest"
      fi      
  # Run this job in a branch where a Dockerfile exists
  rules:
    - if: $CI_COMMIT_BRANCH
      exists:
        - Dockerfile
  artifacts:
    reports:
      container_scanning: gl-container-scanning-report.json

Bug修复和增强功能

  • 支持docker scout attest add命令的单架构镜像
  • docker scout quickviewdocker scout recommendations命令上指示,如果镜像来源未使用mode=max创建。 没有mode=max,基础镜像可能会被错误地检测,导致结果不够准确。

1.9.0

2024-05-24

已弃用,推荐使用 1.9.1

1.8.0

2024-04-25

Bug修复和增强

  • 改进EPSS分数和百分位数的格式。

    之前:

    EPSS Score      : 0.000440
EPSS Percentile : 0.092510

    之后:

    EPSS Score      : 0.04%
EPSS Percentile : 9th percentile

  • 修复了在分析本地文件系统时docker scout cves命令的markdown输出。 docker/scout-cli#113

1.7.0

2024-04-15

Bug fixes and enhancements

  • 修复使用docker scout attestation add向私有仓库中的镜像添加认证的问题

  • 修复基于空的scratch基础镜像的图像处理

  • 一个新的sbom://协议用于Docker Scout CLI命令,允许你从标准输入读取Docker Scout SBOM。

    $ docker scout sbom IMAGE | docker scout qv sbom://

  • 为Joomla包添加分类器

1.6.4

2024-03-26

Bug修复和增强功能

  • 修复基于RPM的Linux发行版的epoch处理

1.6.3

2024-03-22

错误修复和增强功能

  • 改进包检测以忽略引用但未安装的包。

1.6.2

2024-03-22

错误修复和增强功能

  • EPSS 数据现在通过后端获取,而不是通过 CLI 客户端。
  • 修复了使用sbom://前缀渲染markdown输出时的问题。

已移除

  • docker scout cves --epss-datedocker scout cache prune --epss 标志已被移除。

1.6.1

2024-03-20

注意

此版本仅影响 docker/scout-action GitHub Action。

  • 添加对以SDPX或in-toto SDPX格式传入SBOM文件的支持

    uses: docker/scout-action@v1
with:
    command: cves
    image: sbom://alpine.spdx.json

  • syft-json格式中添加对SBOM文件的支持

    uses: docker/scout-action@v1
with:
    command: cves
    image: sbom://alpine.syft.json

1.6.0

2024-03-19

注意

此版本仅影响CLI插件,不影响GitHub Action

  • 添加对以SDPX或in-toto SDPX格式传入SBOM文件的支持

    $ docker scout cves sbom://path/to/sbom.spdx.json

  • syft-json格式中添加对SBOM文件的支持

    $ docker scout cves sbom://path/to/sbom.syft.json

  • 从标准输入读取SBOM文件

    $ syft -o json alpine | docker scout cves sbom://

  • 根据EPSS评分优先处理CVEs

    • --epss to display and prioritise the CVEs
    • --epss-score and --epss-percentile to filter by score and percentile
    • Prune cached EPSS files with docker scout cache prune --epss

Bug fixes and enhancements

  • 从WSL2使用Windows缓存

    当在运行Docker Desktop的WSL2内部时,Docker Scout CLI插件现在使用来自Windows的缓存。这样,如果镜像已经被Docker Desktop索引过,就不需要再在WSL2端重新索引了。

  • 如果已使用设置管理功能禁用了索引,则在CLI中现在会阻止索引。

  • 修复在分析单个镜像oci-dir输入时可能发生的崩溃

  • 使用containerd镜像存储改进本地认证支持

早期版本

早期版本的 Docker Scout CLI 插件的发布说明可在 GitHub上找到。