Compartir comentarios
Las respuestas se generan en base a la documentación.

Corrección con Docker Scout

Tabla de contenidos
Disponibilidad: Beta

Docker Scout te ayuda a corregir problemas de seguridad o de la cadena de suministro proporcionando recomendaciones basadas en los resultados de la evaluación de políticas. Las recomendaciones son acciones sugeridas que puedes realizar para mejorar el cumplimiento de las políticas, o que agregan metadatos a las imágenes, lo que permite a Docker Scout proporcionar mejores resultados de evaluación y recomendaciones.

Docker Scout proporciona consejos de corrección para las políticas por defecto de los siguientes tipos de políticas:

Note

La corrección guiada no es compatible con políticas personalizadas.

Para las imágenes que violan la política, las recomendaciones se centran en abordar los problemas de cumplimiento y corregir las infracciones. Para las imágenes en las que Docker Scout no puede determinar el cumplimiento, las recomendaciones te muestran cómo cumplir con los prerrequisitos que garantizan que Docker Scout pueda evaluar con éxito la política.

Ver recomendaciones

Las recomendaciones aparecen en las páginas de detalles de las políticas del Docker Scout Dashboard. Para llegar a esta página:

  1. Ve a la página de políticas en el Docker Scout Dashboard.
  2. Selecciona una política de la lista.

La página de detalles de la política agrupa los resultados de la evaluación en dos pestañas diferentes según el estado de la política:

  • Infracciones
  • Cumplimiento desconocido

La pestaña Infracciones enumera las imágenes que no cumplen con la política seleccionada. La pestaña Cumplimiento desconocido enumera las imágenes para las cuales Docker Scout no puede determinar el estado de cumplimiento. Cuando el cumplimiento es desconocido, Docker Scout necesita más información sobre la imagen.

Para ver las acciones recomendadas para una imagen, coloca el cursor sobre una de las imágenes de la lista para revelar el botón View fixes (Ver correcciones).

Corrección para infracciones de políticas

Selecciona el botón View fixes para abrir el panel lateral de corrección que contiene las acciones recomendadas para tu imagen.

Si hay más de una recomendación disponible, la recomendación principal se muestra como Recommended fix (Corrección recomendada). Las recomendaciones adicionales se enumeran como Quick fixes (Soluciones rápidas). Las soluciones rápidas suelen ser acciones que proporcionan una solución temporal.

El panel lateral también puede contener una o más secciones de ayuda relacionadas con las recomendaciones disponibles.

Corrección de imágenes base actualizadas

La política Up-to-Date Base Images comprueba si la imagen base que utilizas está actualizada. Las acciones recomendadas que se muestran en el panel lateral de corrección dependen de cuánta información tenga Docker Scout sobre tu imagen. Cuanta más información haya disponible, mejores serán las recomendaciones.

Los siguientes escenarios detallan las diferentes recomendaciones según la información disponible sobre la imagen.

Sin atestaciones de procedencia

Para que Docker Scout pueda evaluar esta política, debes agregar atestaciones de procedencia (provenance) a tu imagen. Si tu imagen no tiene atestaciones de procedencia, el cumplimiento es indeterminado.

Atestaciones de procedencia disponibles

Con las atestaciones de procedencia agregadas, Docker Scout puede detectar correctamente la versión de la imagen base que estás utilizando. La versión encontrada en las atestaciones se contrasta con la versión actual de la etiqueta correspondiente para determinar si está actualizada.

Si hay una infracción de la política, las acciones recomendadas muestran cómo actualizar la versión de tu imagen base a la última versión, mientras que también se fija (pin) la versión de la imagen base a un resumen (digest) específico. Para obtener más información, consulta Fijar versiones de imágenes base.

Integración de GitHub habilitada

Si estás alojando el código fuente de tu imagen en GitHub, puedes habilitar la integración de GitHub. Esta integración permite a Docker Scout proporcionar consejos de corrección aún más útiles y te permite iniciar la corrección de infracciones directamente desde el Docker Scout Dashboard.

Con la integración de GitHub habilitada, puedes usar el panel lateral de corrección para abrir una pull request en el repositorio de GitHub de la imagen. La pull request actualiza automáticamente la versión de la imagen base en tu Dockerfile a la versión actualizada.

Esta corrección automatizada fija tu imagen base a un resumen (digest) específico, mientras te ayuda a mantenerte al día a medida que nuevas versiones estén disponibles. Fijar la imagen base a un resumen es importante para la reproducibilidad y ayuda a evitar que cambios no deseados se introduzcan en tu cadena de suministro.

Para obtener más información sobre la fijación de imágenes base, consulta Fijar versiones de imágenes base.

Corrección de atestaciones de la cadena de suministro

La política Supply Chain Attestations por defecto requiere atestaciones completas de procedencia y SBOM en las imágenes. Si a tu imagen le falta una atestación, o si una atestación no contiene suficiente información, se infringe la política.

Las recomendaciones disponibles en el panel lateral de corrección ayudan a guiarte sobre qué acción debes tomar para abordar los problemas. Por ejemplo, si tu imagen tiene una atestación de procedencia, pero la atestación no contiene suficiente información, se te recomienda volver a compilar tu imagen con procedencia mode=max.