docker scout cves

Отображение CVE, идентифицированных в программном артефакте

Использование

$ docker scout cves [OPTIONS] IMAGE|DIRECTORY|ARCHIVE

Обратитесь к разделу параметров для обзора доступных OPTIONS для этой команды.

Описание

Команда docker scout cves анализирует программный артефакт на наличие уязвимостей. Поддерживаются следующие типы артефактов:

  • Образов

  • OCI слой каталогов

  • Архивы Tarball, созданные docker save

Инструмент анализирует предоставленный артефакт программного обеспечения и создаёт отчёт об уязвимости.

По умолчанию инструмент ожидает ссылку на образ, например:

  • redis

  • curlimages/curl:7.87.0

  • mcr.microsoft.com/dotnet/runtime:7.0

Если артефакт, который вы хотите проанализировать, представляет собой каталог OCI или архив tarball, вы должны использовать флаг --type.

Примеры использования этой команды см. в разделе примеров далее.

Параметры

Имя, сокращенно

По умолчанию

Описание

--details

Подробная информация о выводе текста по умолчанию

--exit-code, -e

Возвращайте код выхода «2», если обнаружены уязвимости

--format

packages

Формат вывода сгенерированного отчета об уязвимостях: — пакеты: вывод по умолчанию, обычный текст с уязвимостями, сгруппированными по пакетам — sarif: вывод json Sarif

--ignore-base

Отфильтруйте CVE, введенные из базового образа

--only-cve-id

Разделенный запятыми список идентификаторов CVE (например, CVE-2021-45105) для поиска

--only-fixed

Отфильтровать по исправимым CVE

--only-package-type

Разделенный запятыми список типов пакетов (например, apk, deb, rpm, npm, pypi, golang и т. д.)

--only-severity

Разделенный запятыми список серьезности (критическая, высокая, средняя, низкая, неуказанная) для фильтрации CVE

--only-unfixed

Отфильтровать неисправленные CVE

--output, -o

Записывает отчёт в файл.

--platform

Платформа образа для анализа

--ref

Ссылка для использования, если предоставленный архив содержит несколько ссылок. Может использоваться только с архивом –type.

--type

image

Тип образа для анализа. Может быть одним из: — image — oci-dir — archive (docker save tarball)

Примеры

Отображать уязвимости, сгруппированные по пакетам

$ docker scout cves alpine
Analyzing image alpine
    ✓ Image stored for indexing
    ✓ Indexed 18 packages
    ✓ No vulnerable package detected

Показывает уязвимости из a

$ docker save alpine > alpine.tar

$ docker scout cves --type archive alpine.tar
Analyzing archive alpine.tar
    ✓ Archive read
    ✓ SBOM of image already cached, 18 packages indexed
    ✓ No vulnerable package detected

Показывает уязвимости из каталога OCI

$ skopeo copy --override-os linux docker://alpine oci:alpine

$ docker scout cves --type oci-dir alpine
Analyzing OCI directory alpine
    ✓ OCI directory read
    ✓ Image stored for indexing
    ✓ Indexed 19 packages
    ✓ No vulnerable package detected

Экспорт уязвимостей в файл SARIF JSON

$ docker scout cves --format sarif --output alpine.sarif.json alpine
Analyzing image alpine
    ✓ SBOM of image already cached, 18 packages indexed
    ✓ No vulnerable package detected
    ✓ Report written to alpine.sarif.json

Родительская команда

Команда

Описание

docker scout

Инструмент командной строки для Docker Scout