Compartir comentarios
Las respuestas se generan en base a la documentación.

Recopilación y almacenamiento de datos en Docker Scout

Tabla de contenidos

El análisis de imágenes de Docker Scout funciona recopilando metadatos de las imágenes de contenedores que analizas. Estos metadatos se almacenan en la plataforma de Docker Scout.

Transmisión de datos

Esta sección describe los datos que Docker Scout recopila y envía a la plataforma.

Metadatos de la imagen

Docker Scout recopila los siguientes metadatos de la imagen:

  • Marca de tiempo de creación de la imagen
  • Resumen (digest) de la imagen
  • Puertos expuestos por la imagen
  • Nombres y valores de las variables de entorno
  • Nombre y valor de las etiquetas (labels) de la imagen
  • Orden de las capas de la imagen
  • Arquitectura de hardware
  • Tipo y versión del sistema operativo
  • URL y tipo del registro (registry)

Los resúmenes de la imagen se crean para cada capa de una imagen cuando esta se construye y se sube a un registro. Son resúmenes SHA256 del contenido de una capa. Docker Scout no crea los resúmenes, sino que se leen del manifiesto de la imagen.

Los resúmenes se comparan con tus propias imágenes privadas y con la base de datos de imágenes públicas de Docker para identificar las imágenes que comparten las mismas capas. La imagen que comparte la mayor parte de las capas se considera una coincidencia de imagen base para la imagen que se está analizando en ese momento.

Metadatos de SBOM

Los metadatos de la Lista de Materiales de Software (SBOM) se utilizan para contrastar los tipos y versiones de los paquetes con los datos de vulnerabilidades para deducir si una imagen está afectada. Cuando la plataforma de Docker Scout recibe información de los avisos de seguridad sobre nuevos CVEs u otros factores de riesgo, como secretos filtrados, contrasta esta información con el SBOM. Si hay una coincidencia, Docker Scout muestra los resultados en las interfaces de usuario donde se presentan los datos de Docker Scout, como el Panel de Docker Scout y en Docker Desktop.

Docker Scout recopila los siguientes metadatos de SBOM:

  • URLs de paquetes (PURL)
  • Autor y descripción del paquete
  • IDs de licencia
  • Nombre y espacio de nombres del paquete
  • Esquema y tamaño del paquete
  • Tipo y versión del paquete
  • Ruta del archivo (filepath) dentro de la imagen
  • El tipo de dependencia directa
  • Cantidad total de paquetes

Las PURLs en Docker Scout siguen la especificación purl-spec. La información de los paquetes se deriva del contenido de la imagen, incluyendo programas y paquetes a nivel de sistema operativo, y paquetes a nivel de aplicación como maven, npm, etc.

Metadatos del entorno

Si integras Docker Scout con tu entorno de ejecución a través de la integración con Sysdig, Docker Scout recopila los siguientes puntos de datos sobre tus despliegues:

  • Espacio de nombres de Kubernetes (namespace)
  • Nombre de la carga de trabajo (workload)
  • Tipo de carga de trabajo (por ejemplo, DaemonSet)

Análisis local

Para las imágenes analizadas localmente en la máquina de un desarrollador, Docker Scout únicamente transmite PURLs y resúmenes de capas. Estos datos no se almacenan de forma persistente en la plataforma de Docker Scout, sino que solo se utilizan para ejecutar el análisis.

Procedencia (provenance)

Para las imágenes con atestaciones de procedencia, Docker Scout almacena los siguientes datos además del SBOM:

  • Materiales
  • Imagen base
  • Información del VCS
  • Dockerfile

Almacenamiento de datos

Con el fin de proporcionar el servicio de Docker Scout, los datos se almacenan utilizando:

  • Amazon Web Services (AWS) en servidores ubicados en EE. UU. Este (US East)
  • Google Cloud Platform (GCP) en servidores ubicados en EE. UU. Este (US East)

Los datos se utilizan de acuerdo con los procesos descritos en docker.com/legal para proporcionar las capacidades clave de Docker Scout.