Sources de base de données consultative et service de correspondance

Des sources d'informations fiables sont essentielles pour la capacité de Docker Scout à faire apparaître des évaluations pertinentes et précises de vos artefacts logiciels. Étant donné la diversité des sources et méthodologies dans l'industrie, des divergences dans les résultats d'évaluation de vulnérabilités peuvent et se produisent. Cette page décrit comment la base de données consultative Docker Scout et son approche de correspondance CVE-vers-paquet fonctionne pour traiter ces divergences.

Sources de base de données consultative

Docker Scout agrège des données de vulnérabilité de multiples sources. Les données sont continuellement mises à jour pour s'assurer que votre posture de sécurité est représentée en utilisant les dernières informations disponibles, en temps réel.

Docker Scout utilise les dépôts de paquets et trackers de sécurité suivants :

• Avis de Sécurité AlmaLinux
• Alpine secdb
• Centre de Sécurité Amazon Linux
• Base de Données de Vulnérabilités Bitnami
• Catalogue de Vulnérabilités Connues Exploitées CISA
• CISA Vulnrichment
• Flux de Sécurité Chainguard
• Tracker de Bogues de Sécurité Debian
• Système de Notation de Prédiction d'Exploitation (EPSS)
• Base de Données Consultative GitHub
• Base de Données Consultative GitLab
• Golang VulnDB
• Base de Données Nationale de Vulnérabilités
• Sécurité Oracle Linux
• Avis de Sécurité Photon OS 3.0
• Base de Données Consultative d'Empaquetage Python
• Données de Sécurité RedHat
• Avis de Sécurité Rocky Linux
• Base de Données Consultative RustSec
• SUSE Security CVRF
• Tracker CVE Ubuntu
• Flux de Sécurité Wolfi
• inTheWild, une base de données ouverte communautaire d'exploitation de vulnérabilités

Lorsque vous activez Docker Scout pour votre organisation Docker, une nouvelle instance de base de données est provisionnée sur la plateforme Docker Scout. La base de données stocke la Nomenclature du Logiciel (SBOM) et d'autres métadonnées sur vos images. Lorsqu'un avis de sécurité a de nouvelles informations sur une vulnérabilité, votre SBOM est référencée croisée avec les informations CVE pour détecter comment cela vous affecte.

Pour plus de détails sur le fonctionnement de l'analyse d'images, voir la page d'analyse d'images.

Correspondance de vulnérabilités

Les outils traditionnels s'appuient souvent sur une correspondance large Énumération de Produits Communs (CPE), qui peut conduire à de nombreux résultats de faux positifs.

Docker Scout utilise URLs de Paquets (PURLs) pour faire correspondre les paquets avec les CVE, ce qui donne une identification plus précise des vulnérabilités. Les PURLs réduisent significativement les chances de faux positifs, se concentrant seulement sur les paquets véritablement affectés.

Écosystèmes de paquets pris en charge

Docker Scout prend en charge les écosystèmes de paquets suivants :

• .NET
• Paquets GitHub
• Go
• Java
• JavaScript
• PHP
• Python
• RPM
• Ruby
• alpm (Arch Linux)
• apk (Alpine Linux)
• deb (Debian Linux et dérivés)