⚠️ Traduction non officielle - Cette documentation est une traduction communautaire non officielle de Docker.

Vue des détails de l'image

Table des matières

La vue des détails de l'image montre une ventilation de l'analyse Docker Scout. Vous pouvez accéder à la vue d'image depuis le tableau de bord Docker Scout, la vue Images de Docker Desktop, et depuis la page de tag d'image sur Docker Hub. Les détails de l'image montrent une ventilation de la hiérarchie d'image (images de base), couches d'image, paquets, et vulnérabilités.

La vue des détails de l'image dans Docker Desktop

Docker Desktop analyse d'abord les images localement, où il génère une nomenclature logicielle (SBOM). Docker Desktop, Docker Hub, et le tableau de bord et CLI Docker Scout utilisent tous les liens d'URL de paquet (PURL) dans ce SBOM pour rechercher les vulnérabilités et expositions communes (CVE) correspondantes dans la base de données d'avis de Docker Scout.

Hiérarchie d'image

L'image que vous inspectez peut avoir une ou plusieurs images de base représentées sous Hiérarchie d'image. Cela signifie que l'auteur de l'image a utilisé d'autres images comme points de départ lors de la construction de l'image. Souvent ces images de base sont soit des images de système d'exploitation comme Debian, Ubuntu et Alpine, ou des images de langage de programmation comme PHP, Python et Java.

Sélectionner chaque image dans la chaîne vous permet de voir quelles couches proviennent de chaque image de base. Sélectionner la ligne TOUT sélectionne toutes les couches et images de base.

Une ou plusieurs des images de base peuvent avoir des mises à jour disponibles, qui peuvent inclure des correctifs de sécurité mis à jour qui suppriment les vulnérabilités de votre image. Toutes les images de base avec des mises à jour disponibles sont notées à droite de Hiérarchie d'image.

Couches

Une image Docker consiste en couches. Les couches d'image sont listées de haut en bas, avec la couche la plus ancienne en haut et la couche la plus récente en bas. Souvent, les couches en haut de la liste proviennent d'une image de base, et les couches vers le bas sont ajoutées par l'auteur de l'image, souvent en utilisant des commandes dans un Dockerfile. Sélectionner une image de base sous Hiérarchie d'image surligne les couches qui proviennent d'une image de base.

Sélectionner des couches individuelles ou multiples filtre les paquets et vulnérabilités sur le côté droit pour montrer ce que les couches sélectionnées ont ajouté.

Vulnérabilités

L'onglet Vulnérabilités affiche une liste de vulnérabilités et exploits détectés dans l'image. La liste est groupée par paquet, et triée par ordre de gravité.

Vous pouvez trouver plus d'informations sur la vulnérabilité ou exploit, incluant si un correctif est disponible, en développant l'élément de liste.

Recommandations de remédiation

Quand vous inspectez une image dans Docker Desktop ou Docker Hub, Docker Scout peut fournir des recommandations pour améliorer la sécurité de cette image.

Recommandations dans Docker Desktop

Pour voir les recommandations de sécurité pour une image dans Docker Desktop :

  1. Allez à la vue Images dans Docker Desktop.
  2. Sélectionnez le tag d'image pour lequel vous voulez voir les recommandations.
  3. Près du haut, sélectionnez le bouton déroulant Correctifs recommandés.

Le menu déroulant vous permet de choisir si vous voulez voir les recommandations pour l'image actuelle ou toutes les images de base utilisées pour la construire :

Si l'image que vous visualisez n'a pas d'images de base associées, le menu déroulant montre seulement l'option pour voir les recommandations pour l'image actuelle.

Recommandations dans Docker Hub

Pour voir les recommandations de sécurité pour une image dans Docker Hub :

  1. Allez à la page de dépôt pour une image où vous avez activé l'analyse d'image Docker Scout.

  2. Ouvrez l'onglet Tags.

  3. Sélectionnez le tag pour lequel vous voulez voir les recommandations.

  4. Sélectionnez le bouton Voir les correctifs d'image de base recommandés.

    Cela ouvre une fenêtre qui vous donne des recommandations pour améliorer la sécurité de votre image en utilisant de meilleures images de base. Voir Recommandations pour l'image de base pour plus de détails.

Recommandations pour l'image actuelle

Les recommandations pour la vue d'image actuelle vous aident à déterminer si la version d'image que vous utilisez est obsolète. Si le tag que vous utilisez fait référence à un ancien digest, la vue montre une recommandation pour mettre à jour le tag en tirant la dernière version.

Sélectionnez le bouton Tirer une nouvelle image pour obtenir la version mise à jour. Cochez la case pour supprimer l'ancienne version après avoir tiré la dernière.

Recommandations pour l'image de base

La vue des recommandations d'image de base contient deux onglets pour basculer entre différents types de recommandations :

  • Actualiser l'image de base
  • Changer l'image de base

Ces recommandations d'image de base ne sont actionnables que si vous êtes l'auteur de l'image que vous inspectez. C'est parce que changer l'image de base pour une image nécessite que vous mettiez à jour le Dockerfile et reconstruisiez l'image.

Actualiser l'image de base

Cet onglet montre si le tag d'image de base sélectionné est la dernière version disponible, ou s'il est obsolète.

Si le tag d'image de base utilisé pour construire l'image actuelle n'est pas le dernier, alors le delta entre les deux versions s'affiche dans cette fenêtre. Les informations delta incluent :

  • Le nom du tag, et aliases, de la version recommandée (plus récente)
  • L'âge de la version actuelle de l'image de base
  • L'âge de la dernière version disponible
  • Le nombre de CVE affectant chaque version

En bas de la fenêtre, vous recevez aussi des extraits de commande que vous pouvez exécuter pour reconstruire l'image en utilisant la dernière version.

Changer l'image de base

Cet onglet montre différents tags alternatifs que vous pouvez utiliser, et souligne les avantages et inconvénients de chaque version de tag. Sélectionner l'image de base montre les options recommandées pour ce tag.

Par exemple, si l'image que vous inspectez utilise une ancienne version de debian comme image de base, elle montre des recommandations pour des versions plus récentes et plus sécurisées de debian à utiliser. En fournissant plus d'une alternative à choisir, vous pouvez voir par vous-même comment les options se comparent entre elles, et décider laquelle utiliser.

Recommandations d'image de base

Sélectionnez une recommandation de tag pour voir plus de détails de la recommandation. Elle montre les avantages et inconvénients potentiels du tag, pourquoi c'est recommandé, et comment mettre à jour votre Dockerfile pour utiliser cette version.