Compartir comentarios
Las respuestas se generan en base a la documentación.

Puntuaciones de salud de Docker Scout

Tabla de contenidos
Suscripción: Pro Team Business
Disponibilidad: Beta

Las puntuaciones de salud de Docker Scout proporcionan una evaluación de seguridad y de la salud general de la cadena de suministro para las imágenes en Docker Hub, ayudándote a determinar si una imagen cumple con las mejores prácticas de seguridad establecidas. Las puntuaciones varían de la A a la F, donde la A representa el nivel más alto de seguridad y la F el más bajo, ofreciendo una vista rápida de la postura de seguridad de tus imágenes.

Solo los usuarios que son miembros de la organización propietaria del repositorio y tienen al menos acceso de "lectura" al mismo pueden ver la puntuación de salud. La puntuación no es visible para usuarios fuera de la organización o miembros sin acceso de "lectura".

Ver puntuaciones de salud

Para ver la puntuación de salud de una imagen en Docker Hub:

  1. Ve a Docker Hub e inicia sesión.
  2. Navega a la página de tu organización.

En la lista de repositorios, puedes ver la puntuación de salud de cada repositorio basada en la etiqueta enviada más recientemente.

Repository health score

Para ver la puntuación de salud de una imagen en Docker Desktop:

  1. Abre Docker Desktop e inicia sesión en tu cuenta de Docker.
  2. Navega a la vista Images (Imágenes) y selecciona la pestaña Hub.

En la lista de repositorios, la columna Health (Salud) muestra las puntuaciones de las diferentes etiquetas que se han enviado a Docker Hub.

Repository health score

La insignia de puntuación de salud está codificada por colores para indicar la salud general del repositorio:

  • Verde: Una puntuación de A o B.
  • Amarillo: Una puntuación de C.
  • Naranja: Una puntuación de D.
  • Rojo: Una puntuación de E o F.
  • Gris: Una puntuación N/A.

La puntuación también se muestra en la página de Docker Hub para un repositorio determinado, junto con cada política que contribuyó a la puntuación.

Scout "A" health score

Sistema de puntuación

Las puntuaciones de salud se determinan evaluando las imágenes frente a las políticas de Docker Scout. Estas políticas se alinean con las mejores prácticas para la cadena de suministro de software.

Si tus repositorios de imágenes ya están inscritos en Docker Scout, la puntuación de salud se calcula automáticamente en función de las políticas que estén habilitadas para tu organización. Esto también incluye cualquier política personalizada que hayas configurado.

Si no estás utilizando Docker Scout, las puntuaciones de salud muestran el cumplimiento de tus imágenes con las políticas predeterminadas, un conjunto de reglas de la cadena de suministro recomendadas por Docker como estándares fundamentales para las imágenes. Puedes habilitar Docker Scout para tu organización y editar las configuraciones de las políticas para obtener una puntuación de salud más relevante basada en tus políticas específicas.

Proceso de puntuación

A cada política se le asigna un valor en puntos según su tipo. Si la imagen cumple con una política, se le otorga el valor en puntos para ese tipo de política. La puntuación de salud de una imagen se calcula basándose en el porcentaje de puntos obtenidos en relación con el total de puntos posibles.

  1. Se evalúa el cumplimiento de las políticas para la imagen.

  2. Se otorgan puntos según el cumplimiento de las políticas.

  3. Se calcula el porcentaje de puntos alcanzados:

    Percentage = (Points / Total) * 100

  4. Se asigna la puntuación final basándose en el porcentaje de puntos obtenidos, como se muestra en la siguiente tabla:

    Porcentaje de puntos (otorgados sobre el total)Puntuación
    Más del 90%A
    Del 71% al 90%B
    Del 51% al 70%C
    Del 31% al 50%D
    Del 11% al 30%E
    Menos del 10%F

Puntuaciones N/A

A las imágenes también se les puede asignar una puntuación N/A, lo cual puede ocurrir cuando:

  • La imagen es más grande de 4 GB (tamaño comprimido).
  • La arquitectura de la imagen no es linux/amd64 o linux/arm64.
  • La imagen es demasiado antigua y no tiene datos recientes para la evaluación.

Si ves una puntuación N/A, considera lo siguiente:

  • Si la imagen es demasiado grande, intenta reducir su tamaño.
  • Si la imagen tiene una arquitectura no compatible, vuelve a compilar la imagen para una arquitectura compatible.
  • Si la imagen es demasiado antigua, envía una nueva etiqueta para activar una evaluación nueva.

Pesos de las políticas

Los diferentes tipos de políticas tienen distintos pesos, lo que afecta a la puntuación asignada a una imagen durante la evaluación, como se muestra en la siguiente tabla.

Tipo de políticaPuntos
Vulnerabilidad basada en gravedad20
Vulnerabilidades de alto perfil20
Atestaciones de la cadena de suministro15
Imágenes base aprobadas15
Imágenes base actualizadas10
Puertas de calidad de SonarQube *10
Usuario no root por defecto5
Licencias conformes5

* Esta política no está habilitada por defecto y debe ser configurada por el usuario.

Evaluación

Las puntuaciones de salud se calculan para las nuevas imágenes enviadas a Docker Hub después de que se habilite la función. Las puntuaciones de salud te ayudan a mantener altos estándares de seguridad y garantizan que tus aplicaciones estén compiladas sobre imágenes seguras y fiables.

Puntuaciones del repositorio

Además de las puntuaciones individuales de las imágenes (por etiqueta o digest), cada repositorio recibe una puntuación de salud basada en la etiqueta enviada más recientemente, lo que proporciona una vista general del estado de seguridad del repositorio.

Ejemplo

Para una imagen con una puntuación total posible de 100 puntos:

  • Si la imagen solo se desvía de una política de 5 puntos, su puntuación será de 95 sobre 100. Dado que esta puntuación está por encima del percentil 90, la imagen recibe una puntuación de salud de A.
  • Si la imagen no cumple con más políticas y obtiene una puntuación de 65 sobre 100, recibe una puntuación de salud de C, lo que refleja su menor cumplimiento.

Mejorar tu puntuación de salud

Para mejorar la puntuación de salud de una imagen, toma medidas para asegurarte de que la imagen cumpla con las políticas recomendadas por Docker Scout.

  1. Ve al Docker Scout Dashboard.
  2. Inicia sesión usando tu Docker ID.
  3. Ve a la configuración de repositorios y habilita Docker Scout para tus repositorios de imágenes de Docker Hub.
  4. Analiza el cumplimiento de políticas de tus repositorios y toma medidas para asegurarte de que tus imágenes cumplan con las políticas.

Dado que las políticas se ponderan de manera diferente, prioriza las políticas con las puntuaciones más altas para tener un mayor impacto en la puntuación general de tu imagen.