docker scout cves
| 描述 | 显示在软件构件中识别出的CVE |
|---|---|
| 用法 | docker scout cves [OPTIONS] [IMAGE|DIRECTORY|ARCHIVE] |
描述
docker scout cves 命令分析软件构件中的漏洞。
如果没有指定镜像,则使用最近构建的镜像。
支持以下构件类型:
- 镜像
- OCI 布局目录
docker save命令创建的tarball 归档文件- 本地目录或文件
默认情况下,该工具期望一个镜像引用,例如:
rediscurlimages/curl:7.87.0mcr.microsoft.com/dotnet/runtime:7.0
如果要分析的构件是OCI目录、tarball归档文件、本地文件或目录,或者想要控制从何处解析镜像,则必须使用以下前缀之一:
image://(默认) 使用本地镜像,或回退到注册表查找local://使用本地镜像存储中的镜像(不进行注册表查找)registry://使用注册表中的镜像(不使用本地镜像)oci-dir://使用OCI布局目录archive://使用docker save创建的tarball归档文件fs://使用本地目录或文件sbom://SPDX文件或包含SPDX谓词的in-toto认证文件或syftjson SBOM文件。对于sbom://前缀,如果未定义文件,则会尝试从标准输入读取。
选项
| 选项 | 默认值 | 描述 |
|---|---|---|
--details | 在默认文本输出中打印详细信息 | |
--env | 环境名称 | |
--epss | 显示EPSS分数,并根据EPSS分数组织软件包的CVE | |
--epss-percentile | 排除EPSS分数低于指定百分位数(0到1)的CVE | |
--epss-score | 排除EPSS分数低于指定值(0到1)的CVE | |
-e, --exit-code | 如果检测到漏洞,则返回退出代码'2' | |
--format | packages | 生成的漏洞报告的输出格式 - packages:默认输出,纯文本,按软件包分组漏洞 - sarif:json Sarif 输出 - spdx:json SPDX 输出 - gitlab:json GitLab 输出 - markdown:markdown 输出(包括一些html标签,如可折叠章节) - sbom:json SBOM 输出 |
--ignore-base | 过滤掉基础镜像引入的CVE | |
--ignore-suppressed | 根据指定的异常范围过滤Scout异常中发现的CVE | |
--locations | 打印软件包位置,包括文件路径和层diff_id | |
--multi-stage | 显示多阶段Docker构建中的软件包 | |
--only-base | 仅显示基础镜像引入的CVE | |
--only-cisa-kev | 过滤到CISA KEV目录中列出的CVE | |
--only-cve-id | 要搜索的CVE ID的逗号分隔列表(例如CVE-2021-45105) | |
--only-fixed | 过滤可修复的CVE | |
--only-metric | 逗号分隔的CVSS度量标准列表(例如AV:N或PR:L),用于按CVSS度量标准过滤CVE | |
--only-package | 逗号分隔的正则表达式,用于按软件包过滤 | |
--only-package-type | 逗号分隔的软件包类型列表(例如apk、deb、rpm、npm、pypi、golang等) | |
--only-severity | 逗号分隔的严重性列表(严重、高、中、低、未指定),用于按严重性过滤CVE | |
--only-stage | 逗号分隔的多阶段Docker构建阶段名称列表 | |
--only-unfixed | 过滤未修复的CVE | |
--only-vex-affected | 按VEX声明过滤CVE,状态为未受影响 | |
--only-vuln-packages | 与--format=only-packages一起使用时,忽略没有漏洞的软件包 | |
--org | Docker组织的命名空间 | |
-o, --output | 将报告写入文件 | |
--platform | 要分析的镜像的平台 | |
--ref | 如果提供的tarball包含多个引用,则要使用的引用。 只能与archive一起使用 | |
--vex-author | 要接受的VEX声明作者列表 | |
--vex-location | 包含VEX声明的目录或文件的文件位置 |
示例
按软件包显示漏洞
$ docker scout cves alpine
Analyzing image alpine
✓ Image stored for indexing
✓ Indexed 18 packages
✓ No vulnerable package detected
显示来自docker save tarball的漏洞
$ docker save alpine > alpine.tar
$ docker scout cves archive://alpine.tar
Analyzing archive alpine.tar
✓ Archive read
✓ SBOM of image already cached, 18 packages indexed
✓ No vulnerable package detected
显示来自OCI目录的漏洞
$ skopeo copy --override-os linux docker://alpine oci:alpine
$ docker scout cves oci-dir://alpine
Analyzing OCI directory alpine
✓ OCI directory read
✓ Image stored for indexing
✓ Indexed 19 packages
✓ No vulnerable package detected
显示来自当前目录的漏洞
$ docker scout cves fs://.
将漏洞导出到SARIF JSON文件
$ docker scout cves --format sarif --output alpine.sarif.json alpine
Analyzing image alpine
✓ SBOM of image already cached, 18 packages indexed
✓ No vulnerable package detected
✓ Report written to alpine.sarif.json
显示markdown输出
以下示例显示如何生成markdown格式的漏洞报告。
$ docker scout cves --format markdown alpine
✓ Pulled
✓ SBOM of image already cached, 19 packages indexed
✗ Detected 1 vulnerable package with 3 vulnerabilities
<h2>:mag: Vulnerabilities of <code>alpine</code></h2>
<details open="true"><summary>:package: Image Reference</strong> <code>alpine</code></summary>
<table>
<tr><td>digest</td><td><code>sha256:e3bd82196e98898cae9fe7fbfd6e2436530485974dc4fb3b7ddb69134eda2407</code></td><tr><tr><td>vulnerabilities</td><td><img alt="critical: 0" src="https://img.shields.io/badge/critical-0-lightgrey"/> <img alt="high: 0" src="https://img.shields.io/badge/high-0-lightgrey"/> <img alt="medium: 2" src="https://img.shields.io/badge/medium-2-fbb552"/> <img alt="low: 0" src="https://img.shields.io/badge/low-0-lightgrey"/> <img alt="unspecified: 1" src="https://img.shields.io/badge/unspecified-1-lightgrey"/></td></tr>
<tr><td>platform</td><td>linux/arm64</td></tr>
<tr><td>size</td><td>3.3 MB</td></tr>
<tr><td>packages</td><td>19</td></tr>
</table>
</details></table>
</details>
...
列出特定类型的全部易受攻击的软件包
以下示例显示如何生成软件包列表,仅包括指定类型的软件包,并且仅显示易受攻击的软件包。
$ docker scout cves --format only-packages --only-package-type golang --only-vuln-packages golang:1.18.0
✓ Pulled
✓ SBOM of image already cached, 296 packages indexed
✗ Detected 1 vulnerable package with 40 vulnerabilities
Name Version Type Vulnerabilities
───────────────────────────────────────────────────────────
stdlib 1.18 golang 2C 29H 8M 1L
显示EPSS分数(--epss)
--epss标志向docker scout cves输出添加了漏洞利用预测评分系统(EPSS)分数。EPSS分数是对未来30天内软件漏洞在野外被利用的可能性(概率)的估计。分数越高,漏洞被利用的概率越大。
$ docker scout cves --epss nginx
✓ Provenance obtained from attestation
✓ SBOM obtained from attestation, 232 packages indexed
✓ Pulled
✗ Detected 23 vulnerable packages with a total of 39 vulnerabilities
...
✗ HIGH CVE-2023-52425
https://scout.docker.com/v/CVE-2023-52425
Affected range : >=2.5.0-1
Fixed version : not fixed
EPSS Score : 0.000510
EPSS Percentile : 0.173680
EPSS分数是一个介于0到1之间的浮点数,表示未来30天内在野外被利用的概率(在发布分数后)。EPSS百分位数是当前分数的百分位数,即所有具有相同或更低EPSS分数的漏洞的比例。
您可以使用--epss-score和--epss-percentile标志根据这些分数过滤docker scout cves的输出。例如,要仅显示EPSS分数高于0.5的漏洞。
$ docker scout cves --epss --epss-score 0.5 nginx
✓ SBOM of image already cached, 232 packages indexed
✓ EPSS scores for 2024-03-01 already cached
✗ Detected 1 vulnerable package with 1 vulnerability
...
✗ LOW CVE-2023-44487
https://scout.docker.com/v/CVE-2023-44487
Affected range : >=1.22.1-9
Fixed version : not fixed
EPSS Score : 0.705850
EPSS Percentile : 0.979410
EPSS分数每天更新一次。默认情况下,显示最新的可用分数。您可以使用--epss-date标志手动指定日期格式为yyyy-mm-dd来获取EPSS分数。
$ docker scout cves --epss --epss-date 2024-01-02 nginx
列出SPDX文件中的漏洞
以下示例显示如何使用syft从SPDX文件生成漏洞列表。
$ syft -o spdx-json alpine:3.16.1 | docker scout cves sbom://
✔ Pulled image
✔ Loaded image alpine:3.16.1
✔ Parsed image sha256:3d81c46cd8756ddb6db9ec36fa06a6fb71c287fb265232ba516739dc67a5f07d
✔ Cataloged contents 274a317d88b54f9e67799244a1250cad3fe7080f45249fa9167d1f871218d35f
├── ✔ Packages [14 packages]
├── ✔ File digests [75 files]
├── ✔ File metadata [75 locations]
└── ✔ Executables [16 executables]
✗ Detected 2 vulnerable packages with a total of 11 vulnerabilities