通过自动漏洞扫描提高Docker Hub 容器镜像的安全性

软件漏洞扫描器已经存在了一段时间，用于检测黑客用于软件开发的漏洞。传统上，安全团队在开发人员认为他们的工作完成后运行扫描器，经常将代码发回给开发人员以修复已知漏洞。在今天的“左移”模式中，扫描在开发和 CI 周期的早期应用，但大多数组织必须构建自己的自动化以将扫描功能连接到 CI 工具。昨天的发布改变了这个等式，并提供了内置的自动扫描作为 CI 循环中的一个不可或缺的步骤。  

现在，您决定为漏洞扫描配置哪个存储库，以便在每次将图像推送到该存储库时触发扫描，扫描完成后，您可以在 Hub 帐户中查看扫描结果。漏洞数据在 Hub 中分为几个不同的层次：漏洞严重性摘要、所有漏洞列表以及有关特定安全漏洞的详细信息。Pro 和 Team 用户可以使用扫描功能，为每个图像更新创建一个简单的验证方法。

第 1 步 – 启用回购扫描功能

启用回购扫描是一个简单的单击过程，但默认设置是禁用扫描，因此请确保将其打开。

可以为每个存储库单独配置扫描，因此您可以决定如何开始将扫描纳入您的团队协作周期和应用程序构建步骤。您可以在较小的范围内采用这些流程，并随着时间的推移将它们扩展到您组织的其他部门。相反，如果您决定您一直在扫描的存储库不再是您开发的活跃部分，您可以使用相同的单击选项来禁用扫描。

第 2 步 – 运行扫描

启用扫描后，每次将标记图像推送到该存储库时，都会自动触发扫描。  

第 3 步 – 查看结果

漏洞扫描完成后，您可以进入Hub中的repo页面查看扫描结果。Hub Repo 页面的常规选项卡包含所有 repo 图像扫描的结果摘要，其中将显示每次扫描期间识别的高、中和低漏洞的数量。  

单击特定标记的漏洞部分会将您带到该标记的漏洞选项卡，其中显示扫描期间识别的漏洞总数。漏洞选项卡包括扫描严重性摘要并向您显示扫描漏洞的完整列表。  

漏洞列表经过组织，以便您首先看到最严重的漏洞。严重性较高的问题优先于较低的问题，并且相同严重性的漏洞按通用漏洞评分系统 (CVSS) 的降序排列。CVSS 分数是一个已发布的标准，用于为软件漏洞的严重性分配数值。漏洞列表还包括常见漏洞和披露 (CVE)，这是众所周知的网络安全漏洞的标识号以及包含此漏洞的软件包的名称和版本。如果可用，“已修复”列包含已解决漏洞的同一软件包的更高版本。  

“已修复”列旁边是一个指向 Snyk 网站页面的弹出链接，提供有关该特定漏洞的详细信息。

漏洞列表经过组织，以便您首先看到最严重的漏洞。严重性较高的问题优先于较低的问题，并且相同严重性的漏洞按通用漏洞评分系统 (CVSS) 的降序排列。CVSS 分数是一个已发布的标准，用于为软件漏洞的严重性分配数值。漏洞列表还包括常见漏洞和披露 (CVE)，这是众所周知的网络安全漏洞的标识号以及包含此漏洞的软件包的名称和版本。如果可用，“已修复”列包含已解决漏洞的同一软件包的更高版本。  

“已修复”列旁边是一个指向 Snyk 网站页面的弹出链接，提供有关该特定漏洞的详细信息。