脆弱性例外の管理
コンテナイメージで見つかった脆弱性には、追加のコンテキストが必要な場合があります。イメージに脆弱なパッケージが含まれていても、必ずしもその脆弱性が悪用可能であるとは限りません。Docker Scout の 例外 機能を使うと、イメージ分析において受け入れ可能なリスクを認識したり、誤検出を修正したりすることができます。
適用されない脆弱性を無効化することで、イメージにおける脆弱性のセキュリティへの影響を、利用者やダウンストリームのユーザーがより理解しやすくなります。
Docker Scout では、例外が分析結果に自動的に反映されます。もし CVE を適用外としてフラグを立てる例外が設定されている場合、その CVE は分析結果から除外されます。
例外を作成する
イメージに例外を設定する方法は以下の通りです:
例外を作成する推奨方法は Docker Scout ダッシュボードや Docker Desktop の GUI を使用することです。GUI は使いやすいインターフェースを提供し、複数のイメージや組織全体に一度に例外を適用することも可能です。
例外を表示する
イメージの例外を表示するには、適切な権限が必要です。
- GUI を使用して作成された例外は、Docker Organizationのメンバーに表示されます。認証されていないユーザーや Organization のメンバーでないユーザーには表示されません。
- VEX ドキュメントを使用して作成された例外は、イメージをプルできるユーザーなら誰でも確認できます。これは VEX ドキュメントがイメージのマニフェストやファイルシステムに格納されているためです。
Docker Scout ダッシュボードや Docker Desktop で例外を表示する
Docker Scout ダッシュボードの Exceptions タブでは、Organization 内のすべてのイメージに対する例外が一覧表示されます。ここから、各例外の詳細、抑制されている CVE、例外が適用されているイメージ、例外の種類や作成方法などの情報を確認できます。
GUI を使用して作成された例外の場合、アクションメニューから例外を編集または削除できます。
特定のイメージタグに対するすべての例外を表示するには:
- イメージページに移動します。
- 調査したいタグを選択します。
- Exceptions タブを開きます。
CLI で例外を表示する
CLI での例外表示は実験的な機能です。最新バージョンの Docker Scout CLI プラグインが必要です。一部の例外は正しく表示されない可能性があります。
docker scout cves <image> コマンドを実行すると、CLI に例外がハイライト表示されます。例外で抑制された CVE には、CVE ID の横に SUPPRESSED ラベルが表示され、例外の詳細も表示されます。
CLI で例外を表示するには、例外を作成した Docker Organization と同じ Organization を CLI に設定する必要があります。
CLI に Organization を設定するには、次のコマンドを実行します:
$ docker scout configure organization <organization><organization> を Docker Organization の名前に置き換えてください。
また、—org フラグを使用して、コマンドごとに Organizationを指定することもできます:
$ docker scout cves --org <organization> <image>抑制された CVE を出力から除外するには、--ignore-suppressed フラグを使用します:
$ docker scout cves --ignore-suppressed <image>