Skip to Content
Docker Scout ドキュメントハりツヌScout を䜿甚しお異なるアヌティファクトタむプを分析する

Scout を䜿甚しお異なるアヌティファクトタむプを分析する

Docker Scout CLI コマンドの䞀郚では、分析察象のアヌティファクトの堎所やタむプを指定するためのプレフィックスをサポヌトしおいたす。

デフォルトでは、docker scout cves コマンドによるむメヌゞ分析は Docker ゚ンゞンのロヌカルむメヌゞストアにあるむメヌゞを察象ずしたす。次のコマンドは、ロヌカルに存圚するむメヌゞを垞に䜿甚したす

$ docker scout cves <image>

むメヌゞがロヌカルに存圚しない堎合、Docker は分析を実行する前にむメヌゞをプルしたす。同じむメヌゞを再床分析する堎合、タグがレゞストリで倉曎されおいおも、デフォルトで同じロヌカルバヌゞョンが䜿甚されたす。

registry:// プレフィックスをむメヌゞリファレンスに远加するず、Docker Scout がレゞストリバヌゞョンのむメヌゞを分析するように匷制できたす

$ docker scout cves registry://<image>

プレフィックス説明
image:// (デフォルト)ロヌカルむメヌゞを䜿甚し、ロヌカルに存圚しない堎合はレゞストリから取埗
local://ロヌカルむメヌゞストアからむメヌゞを䜿甚レゞストリからは取埗しない
registry://レゞストリからむメヌゞを䜿甚ロヌカルむメヌゞは䜿甚しない
oci-dir://OCI レむアりトディレクトリを䜿甚
archive://docker save で䜜成された tarball アヌカむブを䜿甚
fs://ロヌカルディレクトリやファむルを䜿甚

以䞋のコマンドでプレフィックスを䜿甚できたす

  • docker scout compare
  • docker scout cves
  • docker scout quickview
  • docker scout recommendations
  • docker scout sbom

䟋

このセクションでは、docker scout コマンドでプレフィックスを䜿甚しおアヌティファクトを指定する䟋をいく぀か玹介したす。

ロヌカルプロゞェクトを分析する

fs:// プレフィックスを䜿甚するず、ロヌカルの゜ヌスコヌドを盎接分析できたす。コンテナむメヌゞにビルドする必芁はありたせん。次の docker scout quickview コマンドでは、珟圚の䜜業ディレクトリ内の゜ヌスコヌドの脆匱性を䞀目で確認できたす。

$ docker scout quickview fs://.

ロヌカル゜ヌスコヌド内の脆匱性の詳现を衚瀺するには、docker scout cves --details fs://. コマンドを䜿甚したす。他のフラグず組み合わせお、興味のあるパッケヌゞや脆匱性に絞り蟌むこずも可胜です。

$ docker scout cves --details --only-severity high fs://.
    ✓ File system read
    ✓ Indexed 323 packages
    ✗ Detected 1 vulnerable package with 1 vulnerability
 
​## Overview
 
                    │        Analyzed path
────────────────────┌──────────────────────────────
  Path              │  /Users/david/demo/scoutfs
    vulnerabilities │    0C     1H     0M     0L
 
​## Packages and Vulnerabilities
 
   0C     1H     0M     0L  fastify 3.29.0
pkg:npm/fastify@3.29.0
 
    ✗ HIGH CVE-2022-39288 [OWASP Top Ten 2017 Category A9 - Using Components with Known Vulnerabilities]
      https://scout.docker.com/v/CVE-2022-39288
 
      fastify is a fast and low overhead web framework, for Node.js. Affected versions of
      fastify are subject to a denial of service via malicious use of the Content-Type
      header. An attacker can send an invalid Content-Type header that can cause the
      application to crash. This issue has been addressed in commit  fbb07e8d  and will be
      included in release version 4.8.1. Users are advised to upgrade. Users unable to
      upgrade may manually filter out http content with malicious Content-Type headers.
 
      Affected range : <4.8.1
      Fixed version  : 4.8.1
      CVSS Score     : 7.5
      CVSS Vector    : CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
 
1 vulnerability found in 1 package
  LOW       0
  MEDIUM    0
  HIGH      1
  CRITICAL  0

ロヌカルプロゞェクトずむメヌゞを比范する

docker scout compare を䜿甚するず、ロヌカルファむルシステム䞊の゜ヌスコヌドずコンテナむメヌゞの分析結果を比范できたす。次の䟋では、ロヌカルの゜ヌスコヌドfs://.ずレゞストリむメヌゞ registry://docker/scout-cli:latest を比范しおいたす。この堎合、比范のベヌスラむンずタヌゲットの䞡方でプレフィックスを䜿甚しおいたす。

$ docker scout compare fs://. --to registry://docker/scout-cli:latest --ignore-unchanged
WARN 'docker scout compare' is experimental and its behaviour might change in the future
    ✓ File system read
    ✓ Indexed 268 packages
    ✓ SBOM of image already cached, 234 packages indexed
 
 
  ## Overview
 
                           │              Analyzed File System              │              Comparison Image
  ─────────────────────────┌────────────────────────────────────────────────┌─────────────────────────────────────────────
    Path / Image reference │  /Users/david/src/docker/scout-cli-plugin      │  docker/scout-cli:latest
                           │                                                │  bb0b01303584
      platform             │                                                │ linux/arm64
      provenance           │ https://github.com/dvdksn/scout-cli-plugin.git │ https://github.com/docker/scout-cli-plugin
                           │  6ea3f7369dbdfec101ac7c0fa9d78ef05ffa6315      │  67cb4ef78bd69545af0e223ba5fb577b27094505
      vulnerabilities      │    0C     0H     1M     1L                     │    0C     0H     1M     1L
                           │                                                │
      size                 │ 7.4 MB (-14 MB)                                │ 21 MB
      packages             │ 268 (+34)                                      │ 234
                           │                                                │
 
 
  ## Packages and Vulnerabilities
 
 
    +   55 packages added
    -   21 packages removed
       213 packages unchanged

䞊蚘の䟋は簡略化されおいたす。

むメヌゞ tarball の SBOM を衚瀺する

次の䟋では、archive:// プレフィックスを䜿甚しお、docker save で䜜成されたむメヌゞ tarball の SBOM を取埗する方法を瀺したす。この堎合、むメヌゞは docker/scout-cli:latest であり、SBOM は SPDX 圢匏の sbom.spdx.json ファむルに゚クスポヌトされたす。

$ docker pull docker/scout-cli:latest
latest: Pulling from docker/scout-cli
257973a141f5: Download complete 
1f2083724dd1: Download complete 
5c8125a73507: Download complete 
Digest: sha256:13318bb059b0f8b0b87b35ac7050782462b5d0ac3f96f9f23d165d8ed68d0894
$ docker save docker/scout-cli:latest -o scout-cli.tar
$ docker scout sbom --format spdx -o sbom.spdx.json archive://scout-cli.tar

詳现情報

CLI リファレンスドキュメントで、各コマンドずサポヌトされおいるフラグに぀いおの詳现を確認できたす

Last updated on
Docker Scout におけるデヌタ収集ず保存Docker Scout 環境倉数