イメージ詳細ビュー

イメージ詳細ビューでは、Docker Scout の分析結果が詳細に表示されます。Docker Scout ダッシュボード、Docker Desktop の Images ビュー、および Docker Hub のイメージタグページからイメージビューにアクセスできます。イメージ詳細には、イメージの階層構造（ベースイメージ）、イメージレイヤー、パッケージ、および脆弱性の内訳が表示されます。

Docker Desktop はまずイメージをローカルで分析し、ソフトウェア部品表（SBOM）を生成します。Docker Desktop、Docker Hub、Docker Scout ダッシュボード、および CLI はすべて、この SBOM 内のパッケージ URL（PURL）リンク を使用して、Docker Scout のアドバイザリデータベースで一致する脆弱性（CVE）を照会します。

イメージ階層構造

調査対象のイメージには、Image hierarchy に表示される 1 つ以上のベースイメージが含まれる場合があります。これは、イメージの作成者がイメージの作成時に他のイメージを出発点として使用したことを意味します。これらのベースイメージは、Debian、Ubuntu、Alpine などの OS イメージや、PHP、Python、Java などのプログラミング言語のイメージであることが多いです。

チェーン内の各イメージを選択すると、各ベースイメージに由来するレイヤーを確認できます。ALL 行を選択すると、すべてのレイヤーとベースイメージが選択されます。

利用可能な更新があるベースイメージには、Image hierarchy の右側に更新の通知が表示され、セキュリティパッチなどの脆弱性を削除する更新が含まれている場合があります。

レイヤー

Docker イメージはレイヤーで構成されています。イメージレイヤーは上から下にリストされ、最も古いレイヤーが一番上に、最新のレイヤーが一番下にあります。リストの上位のレイヤーはベースイメージからのものであり、リスト下位のレイヤーは、Dockerfile のコマンドを使用してイメージの作成者が追加したものが多いです。Image hierarchy でベースイメージを選択すると、そのベースイメージからのレイヤーがハイライトされます。

個別のレイヤーや複数のレイヤーを選択すると、右側のパッケージおよび脆弱性がフィルタリングされ、選択したレイヤーによって追加されたもののみが表示されます。

脆弱性

Vulnerabilities タブには、イメージで検出された脆弱性やエクスプロイトの一覧が表示されます。リストはパッケージごとにグループ化され、重大度順にソートされています。

リストアイテムを展開すると、脆弱性やエクスプロイトに関する詳細情報や、修正が利用可能かどうかを確認できます。

修正推奨事項

Docker Desktop または Docker Hub でイメージを調査すると、Docker Scout からそのイメージのセキュリティ改善に関する推奨事項が提供されます。

Docker Desktop での推奨事項

Docker Desktop でイメージのセキュリティ推奨事項を表示する手順：

1. Docker Desktop の Images ビューに移動します。
2. 推奨事項を表示したいイメージタグを選択します。
3. 上部にある Recommended fixes ドロップダウンボタンを選択します。

ドロップダウンメニューでは、現在のイメージや、それを構築する際に使用されたベースイメージに対する推奨事項を表示するか選択できます：

• Recommendations for this image は、現在調査しているイメージに対する推奨事項を提供します。
• Recommendations for base image は、イメージの構築に使用されたベースイメージに対する推奨事項を提供します。

調査しているイメージに関連するベースイメージがない場合、ドロップダウンメニューには現在のイメージに対する推奨事項のみが表示されます。

Docker Hub での推奨事項

Docker Hub でイメージのセキュリティ推奨事項を表示する手順：

1. Docker Scout イメージ分析を有効にしたイメージのリポジトリページに移動します。
2. Tags タブを開きます。
3. 推奨事項を表示したいタグを選択します。
4. View recommended base image fixes ボタンを選択します。

現在のイメージに対する推奨事項

現在のイメージビューに対する推奨事項は、使用しているイメージバージョンが最新かどうかを判断するのに役立ちます。使用しているタグが古いダイジェストを参照している場合、最新バージョンの取得を推奨するメッセージが表示されます。

Pull new image ボタンを選択して最新バージョンを取得します。チェックボックスをオンにすると、最新バージョンをプルした後に古いバージョンが削除されます。

ベースイメージに対する推奨事項

ベースイメージに対する推奨ビューには、推奨事項の異なる種類を切り替えるための 2 つのタブがあります：

• Refresh base image
• Change base image

これらのベースイメージに関する推奨は、調査対象のイメージの作成者のみが実行可能です。イメージのベースイメージを変更するには、Dockerfile の更新とイメージの再ビルドが必要になるためです。

ベースイメージの更新

このタブには、選択したベースイメージタグが最新バージョンか、古いバージョンかが表示されます。

現在のイメージのビルドに使用されているベースイメージタグが最新でない場合、このウィンドウにバージョンの差分が表示されます。差分情報には次の内容が含まれます：

• 推奨される（新しい）バージョンのタグ名とエイリアス
• 現在のベースイメージバージョンの経過日数
• 利用可能な最新バージョンの経過日数
• 各バージョンに影響を与える CVE の数

ウィンドウの下部には、最新バージョンを使用してイメージを再ビルドするためのコマンドスニペットも表示されます。

ベースイメージの変更

このタブには使用可能な別のタグが表示され、各タグバージョンの利点と欠点が示されます。ベースイメージを選択すると、そのタグに対する推奨オプションが表示されます。

たとえば、調査しているイメージが古いバージョンの debian をベースイメージとして使用している場合、より新しくセキュアな debian バージョンの使用が推奨されます。複数の選択肢を提供することで、各オプションを比較し、どれを使用するかを決定できます。

タグ推奨を選択すると、推奨事項の詳細が表示されます。タグの利点と潜在的な欠点、推奨理由、および Dockerfile をこのバージョンに更新する方法が示されます。