⚠️ Traduction non officielle - Cette documentation est une traduction communautaire non officielle de Docker.

Insights de sécurité d'images

Table des matières

Renforcez la sécurité de vos images Docker avec les insights de sécurité d'images de Docker Hub. Docker Hub vous permet d'effectuer soit une analyse de vulnérabilités statique ponctuelle ou une analyse d'images toujours à jour en utilisant Docker Scout.

Analyse d'images Docker Scout

Après avoir activé l'analyse d'images Docker Scout, Docker Scout analyse automatiquement les images dans votre dépôt Docker Hub.

L'analyse d'images extrait la Nomenclature des Matériaux Logiciels (SBOM) et d'autres métadonnées d'images, et l'évalue contre les données de vulnérabilités des avis de sécurité.

Les sections suivantes décrivent comment activer ou désactiver l'analyse d'images Docker Scout pour un dépôt Docker Hub. Pour plus de détails sur l'analyse d'images, voir Docker Scout.

Activer l'analyse d'images Docker Scout

  1. Connectez-vous à Docker Hub.

  2. Sélectionnez Mon Hub > Dépôts.

    Une liste de vos dépôts apparaît.

  3. Sélectionnez un dépôt.

    La page Général pour le dépôt apparaît.

  4. Sélectionnez l'onglet Paramètres.

  5. Sous Paramètres d'insights de sécurité d'images, sélectionnez Analyse d'images Docker Scout.

  6. Sélectionnez Sauvegarder.

Désactiver l'analyse d'images Docker Scout

  1. Connectez-vous à Docker Hub.

  2. Sélectionnez Mon Hub > Dépôts.

    Une liste de vos dépôts apparaît.

  3. Sélectionnez un dépôt.

    La page Général pour le dépôt apparaît.

  4. Sélectionnez l'onglet Paramètres.

  5. Sous Paramètres d'insights de sécurité d'images, sélectionnez Aucun.

  6. Sélectionnez Sauvegarder.

Analyse de vulnérabilités statique

Note

L'analyse de vulnérabilités statique Docker Hub nécessite un abonnement Docker Pro, Team, ou Business.

Quand vous poussez une image vers un dépôt Docker Hub après avoir activé l'analyse statique, Docker Hub analyse automatiquement l'image pour identifier les vulnérabilités. Les résultats d'analyse montrent l'état de sécurité de vos images au moment où l'analyse a été exécutée.

Les résultats d'analyse incluent :

  • La source de la vulnérabilité, comme les packages du Système d'Exploitation (OS) et les bibliothèques
  • La version dans laquelle elle a été introduite
  • Une version corrigée recommandée, si disponible, pour remédier aux vulnérabilités découvertes.

Changements dans l'analyse statique de Docker Hub

À partir du 27 février 2023, Docker a changé la technologie qui supporte la fonctionnalité d'analyse statique Docker Hub. L'analyse statique est maintenant alimentée nativement par Docker, au lieu d'un tiers.

En résultat de ce changement, l'analyse détecte maintenant les vulnérabilités à un niveau plus granulaire qu'avant. Cela signifie à son tour que les rapports de vulnérabilités peuvent montrer un nombre plus élevé de vulnérabilités. Si vous avez utilisé l'analyse de vulnérabilités avant le 27 février 2023, vous pourriez voir que les nouveaux rapports de vulnérabilités listent un nombre plus élevé de vulnérabilités, dû à une analyse plus approfondie.

Aucune action n'est requise de votre part. Les analyses continuent de fonctionner comme d'habitude sans interruption ou changements de tarification. Les données historiques continuent d'être disponibles.

Activer l'analyse de vulnérabilités statique

Les propriétaires et administrateurs de dépôts peuvent activer l'analyse de vulnérabilités statique sur un dépôt. Si vous êtes membre d'un abonnement Team ou Business, assurez-vous que le dépôt sur lequel vous aimeriez activer l'analyse fait partie du niveau Team ou Business.

Quand l'analyse est active sur un dépôt, quiconque ayant un accès push peut déclencher une analyse en poussant une image vers Docker Hub.

Pour activer l'analyse de vulnérabilités statique :

Note

L'analyse de vulnérabilités statique supporte l'analyse d'images qui sont d'architecture AMD64, OS Linux, et font moins de 10 GB en taille.

  1. Connectez-vous à Docker Hub.

  2. Sélectionnez Mon Hub > Dépôts.

    Une liste de vos dépôts apparaît.

  3. Sélectionnez un dépôt.

    La page Général pour le dépôt apparaît.

  4. Sélectionnez l'onglet Paramètres.

  5. Sous Paramètres d'insights de sécurité d'images, sélectionnez Analyse statique.

  6. Sélectionnez Sauvegarder.

Analyser une image

Pour analyser une image pour les vulnérabilités, poussez l'image vers Docker Hub, vers le dépôt pour lequel vous avez activé l'analyse.

Voir le rapport de vulnérabilités

Pour voir le rapport de vulnérabilités :

  1. Connectez-vous à Docker Hub.

  2. Sélectionnez Mon Hub > Dépôts.

    Une liste de vos dépôts apparaît.

  3. Sélectionnez un dépôt.

    La page Général pour le dépôt apparaît. Il peut prendre quelques minutes pour que le rapport de vulnérabilités apparaisse dans votre dépôt.

    Rapport d'analyse de vulnérabilités

  4. Sélectionnez l'onglet Étiquettes, puis Digest, puis Vulnérabilités pour voir le rapport d'analyse détaillé.

    Le rapport d'analyse affiche les vulnérabilités identifiées par l'analyse, les triant selon leur sévérité, avec la sévérité la plus élevée listée en haut. Il affiche des informations sur le package qui contient la vulnérabilité, la version dans laquelle elle a été introduite, et si la vulnérabilité est corrigée dans une version ultérieure.

    Détails d'analyse de vulnérabilités

Pour plus d'informations sur cette vue, voir Vue des détails d'image.

Inspecter les vulnérabilités

Le rapport de vulnérabilités trie les vulnérabilités basé sur leur sévérité. Il affiche des informations sur le package qui contient la vulnérabilité, la version dans laquelle elle a été introduite, et si la vulnérabilité a été corrigée dans une version ultérieure.

Le rapport d'analyse de vulnérabilités permet aussi aux équipes de développement et responsables sécurité de comparer les comptes de vulnérabilités à travers les étiquettes pour voir si les vulnérabilités diminuent ou augmentent au fil du temps.

Corriger les vulnérabilités

Une fois qu'une liste de vulnérabilités a été identifiée, il y a quelques actions que vous pouvez prendre pour remédier aux vulnérabilités. Par exemple, vous pouvez :

  1. Spécifier une image de base mise à jour dans le Dockerfile, vérifier vos dépendances au niveau application, reconstruire l'image Docker, puis pousser la nouvelle image vers Docker Hub.
  2. Reconstruire l'image Docker, exécuter une commande de mise à jour sur les packages OS, et pousser une version plus récente de l'image vers Docker Hub.
  3. Modifier le Dockerfile pour supprimer ou mettre à jour manuellement des bibliothèques spécifiques qui contiennent des vulnérabilités, reconstruire l'image, et pousser la nouvelle image vers Docker Hub

Docker Scout peut vous fournir des étapes de remédiation concrètes et contextuelles pour améliorer la sécurité d'image. Pour plus d'informations, voir Docker Scout.

Désactiver l'analyse de vulnérabilités statique

Les propriétaires et administrateurs de dépôts peuvent désactiver l'analyse de vulnérabilités statique sur un dépôt. Pour désactiver l'analyse :

  1. Connectez-vous à Docker Hub.

  2. Sélectionnez Mon Hub > Dépôts.

    Une liste de vos dépôts apparaît.

  3. Sélectionnez un dépôt.

    La page Général pour le dépôt apparaît.

  4. Sélectionnez l'onglet Paramètres.

  5. Sous Paramètres d'insights de sécurité d'images, sélectionnez Aucun.

  6. Sélectionnez Sauvegarder.