脆弱性例外の管理

コンテナイメージで見つかった脆弱性には、追加のコンテキストが必要な場合があります。イメージに脆弱なパッケージが含まれていても、必ずしもその脆弱性が悪用可能であるとは限りません。Docker Scout の 例外 機能を使うと、イメージ分析において受け入れ可能なリスクを認識したり、誤検出を修正したりすることができます。

適用されない脆弱性を無効化することで、イメージにおける脆弱性のセキュリティへの影響を、利用者やダウンストリームのユーザーがより理解しやすくなります。

Docker Scout では、例外が分析結果に自動的に反映されます。もし CVE を適用外としてフラグを立てる例外が設定されている場合、その CVE は分析結果から除外されます。

例外を作成する

イメージに例外を設定する方法は以下の通りです：

• Docker Scout ダッシュボードや Docker Desktop のGUI を使用する。
• VEXドキュメントを作成し、それをイメージに添付する。

例外を作成する推奨方法は Docker Scout ダッシュボードや Docker Desktop の GUI を使用することです。GUI は使いやすいインターフェースを提供し、複数のイメージや組織全体に一度に例外を適用することも可能です。

例外を表示する

イメージの例外を表示するには、適切な権限が必要です。

• GUI を使用して作成された例外は、Docker Organizationのメンバーに表示されます。認証されていないユーザーや Organization のメンバーでないユーザーには表示されません。
• VEX ドキュメントを使用して作成された例外は、イメージをプルできるユーザーなら誰でも確認できます。これは VEX ドキュメントがイメージのマニフェストやファイルシステムに格納されているためです。

Docker Scout ダッシュボードや Docker Desktop で例外を表示する

Docker Scout ダッシュボードの Exceptions タブでは、Organization 内のすべてのイメージに対する例外が一覧表示されます。ここから、各例外の詳細、抑制されている CVE、例外が適用されているイメージ、例外の種類や作成方法などの情報を確認できます。

GUI を使用して作成された例外の場合、アクションメニューから例外を編集または削除できます。

特定のイメージタグに対するすべての例外を表示するには：

CLI で例外を表示する

docker scout cves <image> コマンドを実行すると、CLI に例外がハイライト表示されます。例外で抑制された CVE には、CVE ID の横に SUPPRESSED ラベルが表示され、例外の詳細も表示されます。

$ docker scout configure organization <organization>

$ docker scout cves --org <organization> <image>

抑制された CVE を出力から除外するには、--ignore-suppressed フラグを使用します:

$ docker scout cves --ignore-suppressed <image>