アドバイザリデータベースのソースとマッチングサービス

信頼性の高い情報源は、Docker Scout がソフトウェアアーティファクトに関する正確な評価を提供するための鍵です。業界における情報源と手法の多様性から、脆弱性評価結果における差異が発生することがあります。このページでは、Docker Scout のアドバイザリデータベースとその CVE-to-パッケージマッチングアプローチについて説明し、こうした差異に対処する方法を紹介します。

アドバイザリデータベースのソース

Docker Scout は複数の情報源から脆弱性データを集約しています。このデータは継続的に更新され、セキュリティ状態がリアルタイムで最新の情報に基づいて表示されるようになっています。

Docker Scout は次のパッケージリポジトリおよびセキュリティトラッカーを使用しています：

• Alpine secdb 
• AlmaLinux Security Advisory 
• Amazon Linux Security Center 
• Bitnami Vulnerability Database 
• CISA Known Exploited Vulnerability Catalog 
• CISA Vulnrichment 
• Debian Security Bug Tracker 
• Exploit Prediction Scoring System (EPSS) 
• GitHub Advisory Database 
• GitLab Advisory Database 
• Golang VulnDB 
• inTheWild - コミュニティ主導の脆弱性エクスプロイトデータベース 
• National Vulnerability Database 
• Oracle Linux Security 
• Python Packaging Advisory Database 
• RedHat Security Data 
• Rocky Linux Security Advisory 
• RustSec Advisory Database 
• SUSE Security CVRF 
• Ubuntu CVE Tracker 
• Wolfi Security Feed 
• Chainguard Security Feed 

Docker Scout を Docker Organization で有効化すると、新しいデータベースインスタンスが Docker Scout プラットフォーム上にプロビジョニングされます。このデータベースには、イメージに関するソフトウェア部品表（SBOM）およびその他のメタデータが格納されます。脆弱性に関する新しい情報がセキュリティアドバイザリに追加されると、SBOM が CVE 情報と照合され、それがユーザーにどのような影響を与えるかが検出されます。

イメージ分析の仕組みについての詳細は、イメージ分析ページを参照してください。

脆弱性マッチング

従来のツールは一般に広範なCommon Product Enumeration（CPE） マッチングに依存していますが、これにより多くの誤検出が発生する可能性があります。

Docker Scout はパッケージ URL (PURL) を使用して CVE に対するパッケージのマッチングを行うため、脆弱性の識別精度が向上します。PURL を使用することで、誤検出の可能性が大幅に低減され、実際に影響を受けるパッケージのみが対象となります。

対応しているパッケージエコシステム

Docker Scout は次のパッケージエコシステムをサポートしています：

• .NET
• GitHub packages
• Go
• Java
• JavaScript
• PHP
• Python
• RPM
• Ruby
• alpm (Arch Linux)
• apk (Alpine Linux)
• deb (Debian Linux およびその派生)