Compartir comentarios
Las respuestas se generan en base a la documentación.

Notas de lanzamiento de Docker Scout

Tabla de contenidos

Esta página contiene información sobre las nuevas funciones, mejoras, problemas conocidos y correcciones de errores en los lanzamientos de Docker Scout. Estas notas de lanzamiento cubren la plataforma Docker Scout, incluyendo el Dashboard. Para las notas de lanzamiento de la CLI, consulta las notas de lanzamiento de la CLI de Docker Scout.

Cuarto trimestre de 2024

Nuevas funciones y mejoras lanzadas en el cuarto trimestre de 2024.

2024-10-09

La evaluación de políticas ha pasado de Early Access (Acceso anticipado) a General Availability (Disponibilidad general).

Cambios en la interfaz de usuario del Docker Scout Dashboard:

  • En el Docker Scout Dashboard, al seleccionar una tarjeta de política ahora se abre la página de detalles de la política en lugar de la página de resultados de la política.
  • La página de resultados de políticas y el panel lateral de detalles de políticas ahora son de solo lectura. Las acciones de política (editar, deshabilitar, eliminar) ahora son accesibles desde la página de detalles de la política.

Tercer trimestre de 2024

Nuevas funciones y mejoras lanzadas en el tercer trimestre de 2024.

2024-09-30

En este lanzamiento, hemos cambiado la forma en que funcionan las políticas personalizadas. Antes, las políticas personalizadas se creaban copiando una política predeterminada. Ahora, puedes personalizar las políticas editando la política por defecto a partir de un tipo de política (policy type) que actúa como plantilla. Las políticas por defecto en Docker Scout también están implementadas sobre la base de estos tipos.

Para obtener más información, consulta los tipos de políticas.

2024-09-09

Este lanzamiento cambia la forma en que se calculan las puntuaciones de salud (health scores) en Docker Scout. El cálculo de la puntuación de salud ahora considera las políticas opcionales y personalizadas que hayas configurado para tu organización.

Esto significa que si has habilitado, deshabilitado o personalizado alguna de las políticas por defecto, Docker Scout ahora tendrá en cuenta esas políticas al calcular la puntuación de salud de las imágenes de tu organización.

Si aún no has habilitado Docker Scout para tu organización, el cálculo de la puntuación de salud se basará en las políticas predeterminadas.

2024-08-13

Este lanzamiento cambia las políticas predeterminadas para alinearlas con las configuraciones de políticas utilizadas para evaluar las puntuaciones de salud de Docker Scout.

Las políticas predeterminadas actuales son:

  • No high-profile vulnerabilities
  • No fixable critical or high vulnerabilities
  • Approved Base Images
  • Default non-root user
  • Supply chain attestations
  • Up-to-Date Base Images
  • No AGPL v3 licenses

Las configuraciones de estas políticas son ahora las mismas que las utilizadas para calcular las puntuaciones de salud. Anteriormente, las políticas predeterminadas tenían configuraciones diferentes a las políticas de puntuación de salud.

Segundo trimestre de 2024

Nuevas funciones y mejoras lanzadas en el segundo trimestre de 2024.

2024-06-27

Este lanzamiento presenta soporte inicial para Exceptions (Excepciones) en el Docker Scout Dashboard. Las excepciones te permiten suprimir vulnerabilidades encontradas en tus imágenes (falsos positivos) mediante documentos VEX. Adjunta documentos VEX a las imágenes como atestaciones o incrústalos en los sistemas de archivos de las imágenes, y Docker Scout detectará e incorporará automáticamente las declaraciones VEX en los resultados del análisis de la imagen.

La nueva página de excepciones muestra todas las excepciones que afectan a las imágenes de tu organización. También puedes ir a la vista de imagen en el Docker Scout Dashboard para ver todas las excepciones que se aplican a una imagen determinada.

Para obtener más información, consulta Administrar excepciones de vulnerabilidades.

2024-05-06

Nuevo punto de enlace (endpoint) HTTP que te permite recopilar datos de Docker Scout con Prometheus, para crear tus propios paneles de control (dashboards) de vulnerabilidades y políticas con Grafana. Para obtener más información, consulta Docker Scout metrics exporter.

Primer trimestre de 2024

Nuevas funciones y mejoras lanzadas en el primer trimestre de 2024.

2024-03-29

La política No high-profile vulnerabilities ahora reporta la vulnerabilidad de puerta trasera en xz CVE-2024-3094. Cualquier imagen en tu organización de Docker que contenga la versión de xz/liblzma con la puerta trasera no cumplirá con la política No high-profile vulnerabilities.

2024-03-20

La política No fixable critical or high vulnerabilities ahora admite una opción de configuración Fixable vulnerabilities only (Solo vulnerabilidades solucionables), que te permite decidir si deseas marcar únicamente las vulnerabilidades que tienen una versión de corrección disponible.

2024-03-14

Se ha eliminado la política All critical vulnerabilities. La política No fixable critical or high vulnerabilities proporciona una funcionalidad similar y se actualizará en el futuro para permitir una personalización más amplia, lo que hace que la política All critical vulnerabilities ahora eliminada sea redundante.

2024-01-26

La integración con Azure Container Registry pasó de Early Access (Acceso anticipado) a General Availability (Disponibilidad general).

Para obtener más información e instrucciones de configuración, consulta Integrar Azure Container Registry.

2024-01-23

Nueva política Approved Base Images (Imágenes base aprobadas), que te permite restringir qué imágenes base permites en tus compilaciones. Defines las imágenes base permitidas utilizando un patrón. Las imágenes base cuya referencia de imagen no coincida con los patrones especificados hacen que la política falle.

2024-01-12

Nueva política Default non-root user (Usuario no root por defecto), que marca las imágenes que se ejecutarían de forma predeterminada como el superusuario root con privilegios completos de administración del sistema. Especificar un usuario predeterminado que no sea root para tus imágenes puede ayudar a reforzar la seguridad en tiempo de ejecución.

2024-01-11

Lanzamiento en Beta de una nueva aplicación de GitHub para integrar Docker Scout con tu gestión de código fuente, y una función de corrección para ayudarte a mejorar el cumplimiento de las políticas.

La corrección (remediation) es una nueva capacidad de Docker Scout para proporcionar acciones recomendadas y contextuales, basadas en los resultados de la evaluación de políticas, sobre cómo puedes mejorar el cumplimiento.

La integración de GitHub mejora la función de corrección. Con la integración habilitada, Docker Scout es capaz de conectar los resultados del análisis con el código fuente. Este contexto adicional sobre cómo se compilan tus imágenes se utiliza para generar mejores y más precisas recomendaciones.

Para obtener más información sobre los tipos de recomendaciones que Docker Scout puede proporcionar para ayudarte a mejorar el cumplimiento de las políticas, consulta Remediation (Corrección).

Para obtener más información sobre cómo autorizar la aplicación de GitHub de Docker Scout en tus repositorios de origen, consulta Integrar Docker Scout con GitHub.

Cuarto trimestre de 2023

Nuevas funciones y mejoras lanzadas en el cuarto trimestre de 2023.

2023-12-20

La integración con Azure Container Registry pasó de Beta a Early Access (Acceso anticipado).

Para obtener más información e instrucciones de configuración, consulta Integrar Azure Container Registry.

2023-12-06

Nueva integración con SonarQube y política relacionada. SonarQube es una plataforma de código abierto para la inspección continua de la calidad del código. Esta integración te permite agregar las puertas de calidad (quality gates) de SonarQube como una evaluación de políticas en Docker Scout. Habilita la integración, envía tus imágenes y observa las condiciones de las puertas de calidad de SonarQube mostradas en la nueva política SonarQube quality gates passed.

2023-12-01

Lanzamiento en Beta de una nueva integración con Azure Container Registry (ACR), que permite a Docker Scout descargar y analizar imágenes en repositorios de ACR de forma automática.

Para obtener más información sobre la integración y cómo empezar, consulta Integrar Azure Container Registry.

2023-11-21

Nueva función de configurable policies (políticas configurables), que te permite ajustar las políticas predeterminadas según tus preferencias o deshabilitarlas por completo si no se adaptan del todo a tus necesidades. Algunos ejemplos de cómo puedes adaptar las políticas para tu organización incluyen:

  • Cambiar los umbrales de gravedad que utilizan las políticas relacionadas con vulnerabilidades
  • Personalizar la lista de "vulnerabilidades de alto perfil"
  • Agregar o quitar licencias de software para marcar como "copyleft"

Para obtener más información, consulta Políticas configurables.

2023-11-10

Nueva política Supply chain attestations (Atestaciones de la cadena de suministro) para ayudarte a realizar un seguimiento de si tus imágenes están compiladas con atestaciones SBOM y de procedencia. Agregar atestaciones a las imágenes es un buen primer paso para mejorar el comportamiento de tu cadena de suministro y, a menudo, es un prerrequisito para hacer más.

2023-11-01

Nueva política No high-profile vulnerabilities (No vulnerabilidades de alto perfil), que garantiza que tus artefactos estén libres de una lista seleccionada de vulnerabilidades ampliamente reconocidas como riesgosas.

2023-10-04

Esto marca el lanzamiento de la Disponibilidad General (GA) de Docker Scout.

Las siguientes funciones nuevas se incluyen en este lanzamiento:

Evaluación de políticas

La evaluación de políticas es una función en acceso anticipado (early access) que te ayuda a garantizar la integridad del software y a realizar un seguimiento del estado de tus artefactos a lo largo del tiempo. Este lanzamiento incluye cuatro políticas predeterminadas, habilitadas por defecto para todas las organizaciones.

Resumen de políticas en el Dashboard
  • Base images not up-to-date evalúa si las imágenes base están desactualizadas y requieren actualización. Las imágenes base actualizadas te ayudan a garantizar que tus entornos sean fiables y seguros.
  • Critical and high vulnerabilities with fixes informa si hay vulnerabilidades de gravedad crítica o alta en tus imágenes, y si hay una versión de corrección disponible a la que puedas actualizar.
  • All critical vulnerabilities busca cualquier vulnerabilidad de gravedad crítica que se encuentre en tus imágenes.
  • Packages with AGPLv3, GPLv3 license te ayuda a detectar licencias copyleft posiblemente no deseadas utilizadas en tus imágenes.

Puedes ver y evaluar el estado de las políticas para las imágenes utilizando el Docker Scout Dashboard y el comando de la CLI docker scout policy. Para obtener más información, consulta la documentación de la evaluación de políticas.

Integración con Amazon ECR

La nueva integración con Amazon Elastic Container Registry (ECR) habilita el análisis de imágenes para las imágenes alojadas en repositorios de ECR.

Configuras la integración utilizando una plantilla de pila de CloudFormation preconfigurada que inicializa los recursos de AWS necesarios en tu cuenta. Docker Scout analiza automáticamente las imágenes que envías a tu registro, almacenando únicamente los metadatos sobre el contenido de la imagen y no las imágenes de contenedor en sí.

La integración ofrece un proceso sencillo para agregar repositorios adicionales, activar Docker Scout para repositorios específicos y eliminar la integración si es necesario. Para obtener más información, consulta la documentación de integración con Amazon ECR.

Integración con Sysdig

La nueva integración con Sysdig te proporciona información de seguridad en tiempo real para tus entornos de ejecución de Kubernetes.

Habilitar esta integración te ayuda a abordar y priorizar los riesgos de las imágenes utilizadas para ejecutar tus cargas de trabajo de producción. También ayuda a reducir el ruido de monitoreo al excluir automáticamente las vulnerabilidades en los programas que nunca se cargan en la memoria, mediante documentos VEX.

Para obtener más información y comenzar, consulta la documentación de integración con Sysdig documentation.

Integración con JFrog Artifactory

La nueva integración con JFrog Artifactory habilita el análisis automático de imágenes en registros de Artifactory.

La integración implica implementar un agente de Docker Scout Artifactory que busca nuevas imágenes, realiza análisis y sube los resultados a Docker Scout, todo ello preservando la integridad de los datos de la imagen.

Limitaciones conocidas

  • El análisis de imágenes solo funciona para imágenes de Linux
  • Docker Scout no puede procesar imágenes de más de 12 GB de tamaño comprimido
  • La creación de un SBOM de imagen (parte del análisis de imagen) tiene un límite de tiempo de espera de 4 minutos