Docker Scout 例外规则创建指南(GUI方式)
docs Source repo for Docker's Documentation 
项目地址: https://gitcode.com/gh_mirrors/docs3/docs
前言
在容器安全扫描过程中,Docker Scout 可能会检测到一些您认为无需立即修复的问题。本文将详细介绍如何通过图形界面(Docker Scout Dashboard 或 Docker Desktop)为这些问题创建例外规则,帮助您更灵活地管理安全策略。
例外规则概述
例外规则是 Docker Scout 提供的一项重要功能,允许您:
- 标记已接受的风险问题(Accepted risk)
- 处理误判情况(False positive)
这些规则会被纳入后续的安全分析中,避免重复提醒已确认的问题。
准备工作
在开始前,请确保:
- 拥有 Docker 账户
- 对目标镜像所属组织具有"编辑者"或"所有者"权限
- 已安装最新版 Docker Desktop(如使用该方式)
详细操作步骤
方法一:通过 Docker Scout Dashboard 创建
-
导航至镜像页面
- 打开 Docker Scout Dashboard
- 进入镜像报告页面
-
选择目标镜像
- 从列表中找到包含问题的镜像标签
- 点击进入详情页
-
定位具体问题
- 切换到"Image layers"标签页
- 选择包含问题的镜像层
- 在"Vulnerabilities"标签页中找到目标问题
-
创建例外规则
- 点击问题旁的"Create exception"按钮
- 在弹出的侧边栏中填写规则详情
方法二:通过 Docker Desktop 创建
-
打开镜像视图
- 启动 Docker Desktop
- 导航至"Images"视图
-
选择目标镜像
- 切换到"Hub"标签页
- 选择包含问题的镜像标签
-
定位并创建例外
- 选择包含问题的镜像层
- 在问题标签页中找到目标问题
- 点击"Create exception"按钮
例外规则配置详解
无论使用哪种方式,创建例外时都需要配置以下参数:
1. 例外类型
-
已接受风险:适用于以下情况:
- 问题风险极低
- 修复成本过高
- 依赖上游修复
- 其他合理原因
-
误判:适用于以下情况:
- 特定使用场景下无风险
- 配置已阻止问题利用
- 扫描工具误判
- 必须提供详细理由说明
2. 作用范围
- 镜像级别:仅应用于当前镜像
- 仓库级别:应用于整个镜像仓库
- 特定仓库:应用于指定的多个仓库
- 组织级别:应用于组织内所有镜像
3. 包作用范围
- 选定包:仅针对当前包
- 所有相关包:针对受此CVE影响的所有包
4. 附加信息
建议填写详细的例外原因,便于后续审计和维护。
最佳实践建议
- 定期审查:建议每季度审查一次例外规则,评估是否仍适用
- 最小权限:尽量缩小例外的作用范围
- 详细记录:在附加信息中说明决策过程和负责人
- 团队沟通:重大例外应与安全团队达成共识
后续管理
创建的例外规则会:
- 立即生效并影响后续扫描结果
- 可以在例外管理页面统一查看
- 支持后续编辑或删除
通过合理使用例外规则功能,您可以在确保安全的前提下,更灵活地管理容器镜像中的问题。
docs Source repo for Docker's Documentation 项目地址: https://gitcode.com/gh_mirrors/docs3/docs
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
