Compartir comentarios
Las respuestas se generan en base a la documentación.

Gestionar excepciones de vulnerabilidades

Tabla de contenidos

Las vulnerabilidades encontradas en las imágenes de contenedores a veces necesitan contexto adicional. El hecho de que una imagen contenga un paquete vulnerable no significa que la vulnerabilidad sea explotable. Las Exceptions (excepciones) en Docker Scout te permiten reconocer los riesgos aceptados o abordar falsos positivos en el análisis de imágenes.

Al descartar las vulnerabilidades no aplicables, te resultará más fácil tanto a ti como a los consumidores intermedios (downstream) de tus imágenes comprender las implicaciones de seguridad de una vulnerabilidad en el contexto de una imagen.

En Docker Scout, las excepciones se factorizan automáticamente en los resultados. Si una imagen contiene una excepción que marca un CVE como no aplicable, ese CVE se excluye de los resultados del análisis.

Crear excepciones

Para crear una excepción para una imagen, puedes:

  • Crear una excepción en la interfaz gráfica ( GUI) del Panel de Docker Scout o de Docker Desktop.
  • Crear un documento VEX y adjuntarlo a la imagen.

La forma recomendada de crear excepciones es utilizar el Panel de Docker Scout o Docker Desktop. La interfaz gráfica proporciona una experiencia intuitiva para crear excepciones. También te permite crear excepciones para múltiples imágenes, o para toda tu organización, todo a la vez.

Ver excepciones

Para ver las excepciones de las imágenes, debes tener los permisos adecuados.

  • Las excepciones creadas utilizando la interfaz gráfica son visibles para los miembros de tu organización de Docker. Los usuarios no autenticados o que no sean miembros de tu organización no pueden ver estas excepciones.
  • Las excepciones creadas utilizando documentos VEX son visibles para cualquiera que pueda descargar (pull) la imagen, ya que el documento VEX se almacena en el manifiesto de la imagen o en el sistema de archivos de la misma.

Ver excepciones en el Panel de Docker Scout o Docker Desktop

La pestaña Exceptions de la página de Vulnerabilidades en el Panel de Docker Scout enumera todas las excepciones para todas las imágenes de tu organización. Desde aquí, puedes ver más detalles sobre cada excepción, los CVEs que se están suprimiendo, las imágenes a las que se aplican las excepciones, el tipo de excepción, cómo se creó y más.

Para las excepciones creadas con la interfaz gráfica, al seleccionar el menú de acciones podrás editar o eliminar la excepción.

Para ver todas las excepciones de una etiqueta de imagen específica:

  1. Ve a la página de imágenes (Images).
  2. Selecciona la etiqueta que quieras inspeccionar.
  3. Abre la pestaña Exceptions.
  1. Abre la vista Images en Docker Desktop.
  2. Abre la pestaña Hub.
  3. Selecciona la etiqueta que quieras inspeccionar.
  4. Abre la pestaña Exceptions.

Ver excepciones en la CLI

Disponibilidad: Experimental
Requiere: Docker Scout CLI 1.15.0 y posterior

Las excepciones de vulnerabilidad se destacan en la CLI cuando ejecutas docker scout cves <image>. Si un CVE está suprimido por una excepción, aparece la etiqueta SUPPRESSED junto al ID del CVE. También se muestran los detalles de la excepción.

Etiqueta SUPPRESSED en la salida de la CLI
Important

Para poder ver las excepciones en la CLI, debes configurar la CLI para que utilice la misma organización de Docker que utilizaste para crear las excepciones.

Para configurar una organización para la CLI, ejecuta:

$ docker scout configure organization <organization>

Reemplaza <organization> con el nombre de tu organización de Docker.

También puedes configurar la organización comando por comando utilizando la bandera --org:

$ docker scout cves --org <organization> <image>

Para excluir los CVEs suprimidos de la salida, utiliza la bandera --ignore-suppressed:

$ docker scout cves --ignore-suppressed <image>