集线器漏洞扫描

预计阅读时间：5分钟

订阅了Pro或Team计划的开发人员可以使用Docker Hub漏洞扫描。有关定价计划的更多信息，请参阅Docker Pricing。

Docker Hub漏洞扫描使您能够使用Snyk自动扫描Docker映像中的漏洞。这使用与docker scan命令相同的技术。

在启用漏洞扫描后将映像推送到Docker Hub时，Docker Hub会自动扫描映像以识别容器映像中的漏洞。漏洞扫描使开发人员和开发团队可以查看容器映像的安全状态，并采取措施来修复扫描期间发现的问题，从而实现更安全的部署。扫描结果包括漏洞源，例如操作系统软件包和库，引入该漏洞的版本以及用于修复发现的漏洞的建议的固定版本（如果有）。

扫描影像

集线器漏洞扫描允许Pro或Team计划的存储库所有者和管理员启用和禁用扫描。

此外，Pro计划中的存储库所有者和Team计划中的团队成员可以查看详细的扫描报告。在特定存储库上启用扫描后，具有推送访问权限的任何人都可以通过将映像推送到Docker Hub来触发扫描。

笔记

Docker Hub当前支持扫描小于64 GB的AMD64架构，Linux OS图像。

启用漏洞扫描

存储库所有者和管理员可以在存储库上启用漏洞扫描。如果您是团队计划的成员，请确保要启用扫描的存储库是团队计划的一部分。

要启用漏洞扫描：

1. 登录到您的Docker Hub帐户。
2. 从主菜单中单击存储库，然后从列表中选择一个存储库。
3. 默认情况下，所有存储库均禁用扫描。您可以分别为每个存储库启用扫描。转到“设置”选项卡，然后单击“启用图像扫描”。

扫描图像中的漏洞

要扫描映像中的漏洞，请将映像推送到Docker Hub：

1. 确保已在本地安装Docker。请参阅获取Docker以在本地计算机上下载并安装Docker。
2. 使用命令行登录到您的Docker帐户。请参阅docker登录以获取更多信息。

3. 标记您要扫描的图像。例如，要标记Redis图像，请运行：

    docker tag redis <your-Docker-ID>/<your-repo-name>:latest
   

4. 将映像推送到Docker Hub以触发对映像的漏洞扫描：

    docker push <your-Docker-ID>/<your-repo-name>:latest
   

查看漏洞报告

扫描报告保留期

Docker将漏洞扫描报告保留一年。如果您希望在此期间之后获得新的，最新的漏洞扫描报告，则可以通过将映像推送到Docker Hub来重新扫描映像。

要查看漏洞报告：

1. 转到Docker Hub并打开存储库以查看漏洞扫描报告的摘要。

   漏洞报告可能需要几分钟才能显示在您的存储库中。

   

2. 单击标签选项卡>摘要>漏洞以查看详细的扫描报告。

   扫描报告显示由扫描识别的漏洞，并根据严重性对它们进行排序，最高严重性在顶部列出。它显示有关包含漏洞的软件包，引入漏洞的版本以及在更高版本中是否修复了漏洞的信息。

   

   笔记

   您也可以单击每一行上的“在浏览器中打开”图标，以在Snyk网站上查看有关该漏洞的详细信息。

禁用漏洞扫描

存储库所有者和管理员可以在存储库上禁用漏洞扫描。要禁用扫描：

1. 登录到您的Docker Hub帐户。
2. 从主菜单中单击存储库，然后从列表中选择一个存储库。
3. 转到“设置”选项卡，然后单击“禁用图像扫描”。

检查漏洞

漏洞报告根据漏洞的严重性对漏洞进行排序。它显示有关包含漏洞的软件包，引入漏洞的版本以及该漏洞是否已在更高版本中修复的信息。

漏洞扫描报告还允许开发团队和安全领导比较标记之间的漏洞计数，以查看漏洞是随着时间的流逝而减少还是增加。

修复漏洞

确定漏洞列表后，您可以采取一些措施来修复漏洞。例如，您可以：

1. 在Dockerfile中指定更新的基础映像，检查您的应用程序级别的依存关系，重建Docker映像，然后将新映像推送到Docker Hub。
2. 重建Docker映像，在OS软件包上运行更新命令，然后将较新版本的映像推送到Docker Hub。
3. 编辑dockerfile以手动删除或更新包含漏洞的特定库，重建映像并将新映像推送到Docker Hub

按照上述建议的步骤操作后，浏览新的漏洞报告以查看更新的扫描结果。

反馈

感谢您试用集线器漏洞扫描功能。您的反馈对我们来说很重要。通过在中心反馈GitHub存储库中创建问题来让我们知道您的反馈。