# Fuentes de la base de datos de avisos y servicio de emparejamiento Las fuentes de información confiables son clave para la capacidad de Docker Scout de presentar evaluaciones relevantes y precisas de tus artefactos de software. Dada la diversidad de fuentes y metodologías en la industria, las discrepancias en los resultados de la evaluación de vulnerabilidades pueden ocurrir y de hecho ocurren. Esta página describe cómo funciona la base de datos de avisos de Docker Scout y su enfoque de emparejamiento de CVE con paquetes para lidiar con estas discrepancias. ## Fuentes de la base de datos de avisos Docker Scout agrega datos de vulnerabilidades de múltiples fuentes. Los datos se actualizan continuamente en tiempo real para garantizar que tu postura de seguridad se represente utilizando la información disponible más reciente. Docker Scout utiliza los siguientes rastreadores de seguridad y repositorios de paquetes: - [AlmaLinux Security Advisory](https://errata.almalinux.org/) - [Alpine secdb](https://secdb.alpinelinux.org/) - [Amazon Linux Security Center](https://alas.aws.amazon.com/) - [Bitnami Vulnerability Database](https://github.com/bitnami/vulndb) - [CISA Known Exploited Vulnerability Catalog](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [CISA Vulnrichment](https://github.com/cisagov/vulnrichment) - [Chainguard Security Feed](https://packages.cgr.dev/chainguard/osv/all.json) - [Debian Security Bug Tracker](https://security-tracker.debian.org/tracker/) - [Exploit Prediction Scoring System (EPSS)](https://api.first.org/epss/) - [GitHub Advisory Database](https://github.com/advisories/) - [GitLab Advisory Database](https://gitlab.com/gitlab-org/advisories-community/) - [Golang VulnDB](https://github.com/golang/vulndb) - [National Vulnerability Database](https://nvd.nist.gov/) - [Oracle Linux Security](https://linux.oracle.com/security/) - [Photon OS 3.0 Security Advisories](https://github.com/vmware/photon/wiki/Security-Updates-3) - [Python Packaging Advisory Database](https://github.com/pypa/advisory-database) - [RedHat Security Data](https://www.redhat.com/security/data/metrics/) - [Rocky Linux Security Advisory](https://errata.rockylinux.org/) - [RustSec Advisory Database](https://github.com/rustsec/advisory-db) - [SUSE Security CVRF](http://ftp.suse.com/pub/projects/security/cvrf/) - [Ubuntu CVE Tracker](https://people.canonical.com/~ubuntu-security/cve/) - [Wolfi Security Feed](https://packages.wolfi.dev/os/security.json) - [inTheWild, una base de datos abierta e impulsada por la comunidad sobre explotación de vulnerabilidades](https://github.com/gmatuz/inthewilddb) Cuando activas Docker Scout para tu organización de Docker, se aprovisiona una nueva instancia de base de datos en la plataforma de Docker Scout. La base de datos almacena la Lista de Materiales de Software (SBOM) y otros metadatos sobre tus imágenes. Cuando un aviso de seguridad contiene nueva información sobre una vulnerabilidad, tu SBOM se contrasta con la información del CVE para detectar cómo te afecta. Para obtener más detalles sobre cómo funciona el análisis de imágenes, consulta la [página de análisis de imágenes](/scout/explore/analysis/). ## Severidad y prioridad de puntuación Docker Scout utiliza dos principios principales al determinar la gravedad y la puntuación de los CVE: - Prioridad de la fuente - Preferencia de la versión de CVSS Para la prioridad de la fuente, Docker Scout sigue este orden: 1. Avisos del proveedor (vendor): Scout siempre utiliza los datos de gravedad y puntuación de la fuente que coincide con el paquete y la versión. Por ejemplo, los datos de Debian para los paquetes de Debian. 2. Datos de puntuación de NIST: Si el proveedor no proporciona datos de puntuación para un CVE, Scout recurre a los datos de puntuación de NIST. Para la preferencia de la versión de CVSS, una vez que Scout ha seleccionado una fuente, prefiere CVSS v4 sobre v3 cuando ambos están disponibles, ya que v4 es el modelo de puntuación más moderno y preciso. ## Emparejamiento de vulnerabilidades Las herramientas tradicionales a menudo dependen de un emparejamiento amplio basado en [CPE (Common Product Enumeration)](https://en.wikipedia.org/wiki/Common_Platform_Enumeration), lo que puede generar muchos resultados falsos positivos. Docker Scout utiliza [PURLs (Package URLs)](https://github.com/package-url/purl-spec) para emparejar paquetes con CVEs, lo que produce una identificación más precisa de las vulnerabilidades. Las PURLs reducen significativamente las posibilidades de falsos positivos, centrándose únicamente en los paquetes realmente afectados. ## Ecosistemas de paquetes compatibles Docker Scout es compatible con los siguientes ecosistemas de paquetes: - .NET - Paquetes de GitHub - Go - Java - JavaScript - PHP - Python - RPM - Ruby - `alpm` (Arch Linux) - `apk` (Alpine Linux) - `deb` (Debian Linux y derivados)