Compartir comentarios
Las respuestas se generan en base a la documentación.

Vista de detalles de la imagen

Tabla de contenidos

La vista de detalles de la imagen muestra un desglose del análisis de Docker Scout. Puedes acceder a la vista de la imagen desde el Panel de Docker Scout, la vista Images de Docker Desktop y desde la página de etiquetas de la imagen en Docker Hub. Los detalles de la imagen muestran un desglose de su jerarquía (imágenes base), las capas de la imagen, los paquetes y las vulnerabilidades.

La vista de detalles de la imagen en Docker Desktop

Docker Desktop primero analiza las imágenes localmente, donde genera una lista de materiales de software (SBOM). Docker Desktop, Docker Hub, el Panel de Docker Scout y la CLI utilizan los enlaces PURL (package URL) de este SBOM para consultar las vulnerabilidades y exposiciones comunes (CVEs) coincidentes en la base de datos de avisos de Docker Scout.

Jerarquía de la imagen

La imagen que inspeccionas puede tener una o más imágenes base representadas bajo Image hierarchy. Esto significa que el autor de la imagen utilizó otras imágenes como punto de partida al construir la imagen. A menudo, estas imágenes base son imágenes de sistemas operativos como Debian, Ubuntu y Alpine, o imágenes de lenguajes de programación como PHP, Python y Java.

Al seleccionar cada imagen de la cadena podrás ver qué capas se originan en cada imagen base. Al seleccionar la fila ALL se seleccionan todas las capas e imágenes base.

Una o más de las imágenes base pueden tener actualizaciones disponibles, las cuales pueden incluir parches de seguridad actualizados que eliminen vulnerabilidades de tu imagen. Cualquier imagen base con actualizaciones disponibles se indica a la derecha de Image hierarchy.

Capas

Una imagen de Docker consta de capas. Las capas de la imagen se enumeran de arriba a abajo, con la capa más antigua en la parte superior y la más reciente en la parte inferior. A menudo, las capas en la parte superior de la lista se originan en una imagen base, y las capas hacia la parte inferior son añadidas por el autor de la imagen, frecuentemente utilizando comandos en un Dockerfile. Al seleccionar una imagen base bajo Image hierarchy se destacan las capas que provienen de una imagen base.

Al seleccionar una o varias capas se filtran los paquetes y vulnerabilidades en el lado derecho para mostrar lo que añadieron las capas seleccionadas.

Vulnerabilidades

La pestaña Vulnerabilidades muestra una lista de vulnerabilidades y exploits detectados en la imagen. La lista se agrupa por paquete y se ordena por gravedad.

Puedes encontrar información adicional sobre la vulnerabilidad o el exploit, incluyendo si hay una corrección disponible, expandiendo el elemento de la lista.

Recomendaciones de mitigación

Cuando inspeccionas una imagen en Docker Desktop o Docker Hub, Docker Scout puede proporcionar recomendaciones para mejorar la seguridad de esa imagen.

Recomendaciones en Docker Desktop

Para ver las recomendaciones de seguridad para una imagen en Docker Desktop:

  1. Ve a la vista Images en Docker Desktop.
  2. Selecciona la etiqueta de la imagen para la que deseas ver las recomendaciones.
  3. Cerca de la parte superior, selecciona el botón desplegable Recommended fixes.

El menú desplegable te permite elegir si deseas ver las recomendaciones para la imagen actual o para cualquier imagen base utilizada para construirla:

  • Recommendations for this image proporciona recomendaciones para la imagen actual que estás inspeccionando.
  • Recommendations for base image proporciona recomendaciones para las imágenes base utilizadas para construir la imagen.

Si la imagen que estás viendo no tiene imágenes base asociadas, el menú desplegable solo muestra la opción de ver las recomendaciones para la imagen actual.

Recomendaciones en Docker Hub

Para ver las recomendaciones de seguridad para una imagen en Docker Hub:

  1. Ve a la página del repositorio de una imagen donde hayas activado el análisis de imágenes de Docker Scout.

  2. Abre la pestaña Tags.

  3. Selecciona la etiqueta para la que deseas ver las recomendaciones.

  4. Selecciona el botón View recommended base image fixes.

    Esto abre una ventana que te ofrece recomendaciones sobre cómo puedes mejorar la seguridad de tu imagen utilizando mejores imágenes base. Consulta Recomendaciones para la imagen base para obtener más detalles.

Recomendaciones para la imagen actual

La vista de recomendaciones para la imagen actual te ayuda a determinar si la versión de la imagen que estás utilizando está desactualizada. Si la etiqueta que estás utilizando hace referencia a un resumen (digest) antiguo, la vista muestra una recomendación para actualizar la etiqueta descargando (pull) la versión más reciente.

Selecciona el botón Pull new image para obtener la versión actualizada. Marca la casilla de verificación para eliminar la versión antigua después de descargar la más reciente.

Recomendaciones para la imagen base

La vista de recomendaciones de imágenes base contiene dos pestañas para alternar entre diferentes tipos de recomendaciones:

  • Refresh base image
  • Change base image

Estas recomendaciones de imágenes base solo se pueden aplicar si eres el autor de la imagen que estás inspeccionando. Esto se debe a que cambiar la imagen base de una imagen requiere que actualices el Dockerfile y vuelvas a construir la imagen.

Actualizar imagen base (Refresh base image)

Esta pestaña muestra si la etiqueta de la imagen base seleccionada es la última versión disponible o si está desactualizada.

Si la etiqueta de la imagen base utilizada para construir la imagen actual no es la más reciente, la diferencia (delta) entre las dos versiones se muestra en esta ventana. La información de la diferencia incluye:

  • El nombre de la etiqueta y los alias de la versión recomendada (más nueva).
  • La antigüedad de la versión de la imagen base actual.
  • La antigüedad de la versión más reciente disponible.
  • El número de CVEs que afectan a cada versión.

En la parte inferior de la ventana, también recibes fragmentos de comandos que puedes ejecutar para volver a construir la imagen utilizando la versión más reciente.

Cambiar imagen base (Change base image)

Esta pestaña muestra diferentes etiquetas alternativas que puedes utilizar y describe las ventajas y desventajas de cada versión de etiqueta. Al seleccionar la imagen base se muestran las opciones recomendadas para esa etiqueta.

Por ejemplo, si la imagen que estás inspeccionando utiliza una versión antigua de debian como imagen base, mostrará recomendaciones de versiones más nuevas y seguras de debian para usar. Al proporcionar más de una alternativa para elegir, puedes comparar las opciones entre sí y decidir cuál utilizar.

Recomendaciones de imagen base

Selecciona una recomendación de etiqueta para ver más detalles. Muestra los beneficios y las posibles desventajas de la etiqueta, por qué es recomendada y cómo actualizar tu Dockerfile para utilizar esta versión.