⚠️ Traduction non officielle - Cette documentation est une traduction communautaire non officielle de Docker.

Collecte et stockage de données dans Docker Scout

Table des matières

L'analyse d'image de Docker Scout fonctionne en collectant des métadonnées des images de conteneur que vous analysez. Ces métadonnées sont stockées sur la plateforme Docker Scout.

Transmission de données

Cette section décrit les données que Docker Scout collecte et envoie à la plateforme.

Métadonnées d'image

Docker Scout collecte les métadonnées d'image suivantes :

  • Horodatage de création d'image
  • Digest de l'image
  • Ports exposés par l'image
  • Noms et valeurs des variables d'environnement
  • Nom et valeur des labels d'image
  • Ordre des couches d'image
  • Architecture matérielle
  • Type et version du système d'exploitation
  • URL et type de registre

Les digests d'image sont créés pour chaque couche d'une image quand l'image est construite et poussée vers un registre. Ce sont des digests SHA256 du contenu d'une couche. Docker Scout ne crée pas les digests ; ils sont lus depuis le manifeste d'image.

Les digests sont comparés avec vos propres images privées et la base de données Docker des images publiques pour identifier les images qui partagent les mêmes couches. L'image qui partage le plus de couches est considérée comme une correspondance d'image de base pour l'image qui est actuellement analysée.

Métadonnées SBOM

Les métadonnées Software Bill of Material (SBOM) sont utilisées pour faire correspondre les types de paquets et versions avec les données de vulnérabilité pour déduire si une image est affectée. Quand la plateforme Docker Scout reçoit des informations des avis de sécurité sur de nouveaux CVE ou autres facteurs de risque, tels que les secrets divulgués, elle fait des références croisées de ces informations avec le SBOM. S'il y a une correspondance, Docker Scout affiche les résultats dans les interfaces utilisateur où les données Docker Scout sont présentées, telles que le tableau de bord Docker Scout et dans Docker Desktop.

Docker Scout collecte les métadonnées SBOM suivantes :

  • URLs de paquet (PURL)
  • Auteur et description du paquet
  • IDs de licence
  • Nom et espace de noms du paquet
  • Schéma et taille du paquet
  • Type et version du paquet
  • Chemin de fichier dans l'image
  • Le type de dépendance directe
  • Nombre total de paquets

Les PURL dans Docker Scout suivent la spécification purl-spec. Les informations de paquet sont dérivées du contenu de l'image, incluant les programmes et paquets au niveau OS, et les paquets au niveau application tels que maven, npm, etc.

Métadonnées d'environnement

Si vous intégrez Docker Scout avec votre environnement d'exécution via l' intégration Sysdig, Docker Scout collecte les points de données suivants sur vos déploiements :

  • Espace de noms Kubernetes
  • Nom de charge de travail
  • Type de charge de travail (par exemple, DaemonSet)

Analyse locale

Pour les images analysées localement sur la machine d'un développeur, Docker Scout ne transmet que les PURL et digests de couche. Ces données ne sont pas stockées de manière persistante sur la plateforme Docker Scout ; elles ne sont utilisées que pour exécuter l'analyse.

Provenance

Pour les images avec des attestations de provenance, Docker Scout stocke les données suivantes en plus du SBOM :

  • Matériaux
  • Image de base
  • Informations VCS
  • Dockerfile

Stockage de données

Dans le but de fournir le service Docker Scout, les données sont stockées en utilisant :

  • Amazon Web Services (AWS) sur des serveurs situés dans l'Est des États-Unis
  • Google Cloud Platform (GCP) sur des serveurs situés dans l'Est des États-Unis

Les données sont utilisées selon les processus décrits sur docker.com/legal pour fournir les capacités clés de Docker Scout.