Docker Scout 快速入门

目录

Docker Scout 分析镜像内容并生成其检测到的包和漏洞的详细报告。它可以为您提供有关如何修复镜像分析发现的问题的建议。

本指南使用一个存在漏洞的容器镜像,并向您展示如何使用 Docker Scout 识别和修复漏洞、比较不同时间的镜像版本以及与您的团队共享结果。

步骤 1:设置

此示例项目 包含一个存在漏洞的 Node.js 应用程序,您可以使用它来进行学习。

  1. 克隆其仓库

    $ git clone https://github.com/docker/scout-demo-service.git

  2. 移动到目录中

    $ cd scout-demo-service

  3. 确保您已登录到您的 Docker 帐户,可以通过运行docker login命令或使用 Docker Desktop 登录。

  4. 构建镜像并将其推送到<ORG_NAME>/scout-demo:v1,其中<ORG_NAME>是您推送到其中的 Docker Hub 命名空间。

    $ docker build --push -t <ORG_NAME>/scout-demo:v1 .

步骤 2:启用 Docker Scout

Docker Scout 默认情况下会分析所有本地镜像。要分析远程仓库中的镜像,您需要先启用它。您可以从 Docker Hub、Docker Scout 仪表盘和 CLI 执行此操作。在概述指南中了解如何操作

  1. 使用docker login命令登录您的 Docker 帐户,或使用 Docker Desktop 中的**登录**按钮。

  2. 接下来,使用docker scout enroll命令注册您的组织使用 Docker Scout。

    $ docker scout enroll <ORG_NAME>
    ✓ Successfully enrolled organization <ORG_NAME> with Docker Scout Free

  3. 使用docker scout repo enable命令为您的镜像仓库启用 Docker Scout。

    $ docker scout repo enable --org <ORG_NAME> <ORG_NAME>/scout-demo

步骤 3:分析镜像漏洞

构建后,使用docker scout CLI 命令查看 Docker Scout 检测到的漏洞。

本指南的示例应用程序使用的是存在漏洞的 Express 版本。以下命令显示影响您刚刚构建的镜像中 Express 的所有 CVE

$ docker scout cves --only-package express

Docker Scout 默认情况下会分析您最近构建的镜像,因此在这种情况下无需指定镜像的名称。

CLI 参考文档中了解有关docker scout cves命令的更多信息。

步骤 4:修复应用程序漏洞

Docker Scout 建议的修复方法是将底层易受攻击的 express 版本更新到 4.17.3 或更高版本。

  1. 使用新的包版本更新package.json文件。

       "dependencies": {
-    "express": "4.17.1"
+    "express": "4.17.3"
   }

  2. 使用新的标签重新构建镜像并将其推送到您的 Docker Hub 仓库

    $ docker build --push -t <ORG_NAME>/scout-demo:v2 .

现在,在 Docker Desktop、Docker Scout 仪表盘或 CLI 中查看镜像的最新标签,您可以看到您已修复了漏洞。

$ docker scout cves --only-package express
    ✓ Provenance obtained from attestation
    ✓ Image stored for indexing
    ✓ Indexed 79 packages
    ✓ No vulnerable package detected


  ## Overview

                      │                  Analyzed Image                   
  ────────────────────┼───────────────────────────────────────────────────
    Target            │  mobywhale/scout-demo:v2                   
      digest          │  ef68417b2866                                     
      platform        │ linux/arm64                                       
      provenance      │ https://github.com/docker/scout-demo-service.git  
                      │  7c3a06793fc8f97961b4a40c73e0f7ed85501857         
      vulnerabilities │    0C     0H     0M     0L                        
      size            │ 19 MB                                             
      packages        │ 1                                                 


  ## Packages and Vulnerabilities

  No vulnerable packages detected

步骤 5:评估策略合规性

虽然基于特定包检查漏洞很有用,但这并不是改进供应链行为最有效的方法。

Docker Scout 还支持策略评估,这是一个更高级别的概念,用于检测和修复镜像中的问题。策略是一组可自定义的规则,允许组织跟踪镜像是否符合其供应链要求。

由于策略规则特定于每个组织,因此您必须指定要针对其进行评估的组织的策略。使用docker scout config命令配置您的 Docker 组织。

$ docker scout config organization <ORG_NAME>
    ✓ Successfully set organization to <ORG_NAME>

现在,您可以运行quickview命令以获取您刚刚构建的镜像的合规性状态概述。该镜像根据默认策略配置进行评估。

$ docker scout quickview

...
Policy status  FAILED  (2/6 policies met, 2 missing data)

  Status │                  Policy                      │           Results
─────────┼──────────────────────────────────────────────┼──────────────────────────────
  ✓      │ No copyleft licenses                         │    0 packages
  !      │ Default non-root user                        │
  !      │ No fixable critical or high vulnerabilities  │    2C    16H     0M     0L
  ✓      │ No high-profile vulnerabilities              │    0C     0H     0M     0L
  ?      │ No outdated base images                      │    No data
  ?      │ Supply chain attestations                    │    No data

状态列中的感叹号表示违反了策略。问号表示没有足够的元数据来完成评估。对勾表示符合要求。

步骤 6:改进合规性

quickview 命令的输出显示仍有改进空间。一些策略无法成功评估 (无数据),因为镜像缺少来源和 SBOM 证明。镜像在一些评估中也未通过检查。

策略评估不仅仅是检查漏洞。例如,默认非 root 用户策略。此策略通过确保镜像默认不设置为以 root 超级用户身份运行来帮助提高运行时安全性。

要解决此策略违规问题,请通过添加 USER 指令并指定非 root 用户来编辑 Dockerfile。

  CMD ["node","/app/app.js"]
  EXPOSE 3000
+ USER appuser

此外,要获得更完整的策略评估结果,您的镜像应附加 SBOM 和来源证明。Docker Scout 使用来源证明来确定镜像的构建方式,以便提供更好的评估结果。

在您可以构建带有证明的镜像之前,必须启用containerd 镜像存储(或使用docker-container驱动程序创建自定义构建器)。经典镜像存储不支持清单列表,而清单列表是将来源证明附加到镜像的方式。

在 Docker Desktop 中打开**设置**。在**常规**部分,确保选中**使用 containerd 拉取和存储镜像**选项。请注意,更改镜像存储会暂时隐藏非活动镜像存储的镜像和容器,直到您切换回来。

启用 containerd 镜像存储后,使用新的 v3 标签重新构建镜像。这次,添加 --provenance=true--sbom=true 标志。

$ docker build --provenance=true --sbom=true --push -t <ORG_NAME>/scout-demo:v3 .

步骤 7:在仪表盘中查看

推送包含证明的更新镜像后,是时候通过不同的视角查看结果了:Docker Scout 仪表板。

  1. 打开Docker Scout 仪表板
  2. 使用您的 Docker 帐户登录。
  3. 在左侧导航中选择**镜像**。

镜像页面列出了您启用了 Scout 的存储库。选择列表中的镜像以打开**镜像详细信息**侧边栏。侧边栏显示存储库上次推送标签的合规性概述。

注意

如果策略结果尚未出现,请尝试刷新页面。如果这是您第一次使用 Docker Scout 仪表板,则结果可能需要几分钟才能显示。

检查**最新的基础镜像**策略。此策略检查您使用的基础镜像是否为最新版本。它目前处于不合规状态,因为示例镜像使用旧版本的alpine作为基础镜像。

选择策略名称旁边的**查看修复**按钮,以获取有关违规的详细信息以及解决方法的建议。在本例中,建议的操作是启用Docker Scout 的 GitHub 集成,这有助于自动保持您的基础镜像为最新版本。

提示

您无法为本指南中使用的演示应用程序启用此集成。您可以将代码推送到您自己的 GitHub 存储库中,并在那里尝试此集成!

摘要

本快速入门指南简要介绍了 Docker Scout 支持软件供应链管理的一些方法。

  • 如何为您的存储库启用 Docker Scout
  • 分析镜像中的漏洞
  • 策略和合规性
  • 修复漏洞并提高合规性

接下来是什么?

还有更多内容有待探索,从第三方集成到策略定制,以及实时运行环境监控。

查看以下部分