⚠️ Traduction non officielle - Cette documentation est une traduction communautaire non officielle de Docker.

Gérer les exceptions de vulnérabilité

Table des matières

Les vulnérabilités trouvées dans les images de conteneur ont parfois besoin de contexte supplémentaire. Ce n'est pas parce qu'une image contient un paquet vulnérable que la vulnérabilité est exploitable. Les Exceptions dans Docker Scout vous permettent d'accuser réception des risques acceptés ou de traiter les faux positifs dans l'analyse d'image.

En niant les vulnérabilités non applicables, vous pouvez faciliter pour vous-même et les consommateurs en aval de vos images de comprendre les implications de sécurité d'une vulnérabilité dans le contexte d'une image.

Dans Docker Scout, les exceptions sont automatiquement prises en compte dans les résultats. Si une image contient une exception qui marque un CVE comme non applicable, alors ce CVE est exclu des résultats d'analyse.

Créer des exceptions

Pour créer une exception pour une image, vous pouvez :

  • Créer une exception dans l' interface graphique du tableau de bord Docker Scout ou Docker Desktop.
  • Créer un document VEX et l'attacher à l'image.

La façon recommandée de créer des exceptions est d'utiliser le tableau de bord Docker Scout ou Docker Desktop. L'interface graphique fournit une interface conviviale pour créer des exceptions. Elle vous permet aussi de créer des exceptions pour plusieurs images, ou votre organisation entière, d'un seul coup.

Voir les exceptions

Pour voir les exceptions pour les images, vous devez avoir les permissions appropriées.

  • Les exceptions créées en utilisant l'interface graphique sont visibles aux membres de votre organisation Docker. Les utilisateurs non authentifiés ou les utilisateurs qui ne sont pas membres de votre organisation ne peuvent pas voir ces exceptions.
  • Les exceptions créées en utilisant des documents VEX sont visibles à quiconque peut tirer l'image, puisque le document VEX est stocké dans le manifeste d'image ou sur le système de fichiers de l'image.

Voir les exceptions dans le tableau de bord Docker Scout ou Docker Desktop

L'onglet Exceptions de la page Vulnérabilités dans le tableau de bord Docker Scout liste toutes les exceptions pour toutes les images de votre organisation. À partir d'ici, vous pouvez voir plus de détails sur chaque exception, les CVE supprimés, les images auxquelles les exceptions s'appliquent, le type d'exception et comment elle a été créée, et plus encore.

Pour les exceptions créées en utilisant l' interface graphique, sélectionner le menu d'action vous permet de modifier ou supprimer l'exception.

Pour voir toutes les exceptions pour un tag d'image spécifique :

  1. Allez à la page Images.
  2. Sélectionnez le tag que vous voulez inspecter.
  3. Ouvrez l'onglet Exceptions.
  1. Ouvrez la vue Images dans Docker Desktop.
  2. Ouvrez l'onglet Hub.
  3. Sélectionnez le tag que vous voulez inspecter.
  4. Ouvrez l'onglet Exceptions.

Voir les exceptions dans la CLI

Availability: Experimental
Requires: Docker Scout CLI 1.15.0 and later

Les exceptions de vulnérabilité sont mises en évidence dans la CLI quand vous exécutez docker scout cves <image>. Si un CVE est supprimé par une exception, un label SUPPRESSED apparaît à côté de l'ID CVE. Les détails sur l'exception sont aussi affichés.

Label SUPPRESSED dans la sortie CLI
Important

Pour voir les exceptions dans la CLI, vous devez configurer la CLI pour utiliser la même organisation Docker que vous avez utilisée pour créer les exceptions.

Pour configurer une organisation pour la CLI, exécutez :

$ docker scout configure organization <organisation>

Remplacez <organisation> par le nom de votre organisation Docker.

Vous pouvez aussi définir l'organisation pour chaque commande en utilisant le flag --org :

$ docker scout cves --org <organisation> <image>

Pour exclure les CVE supprimés de la sortie, utilisez le flag --ignore-suppressed :

$ docker scout cves --ignore-suppressed <image>