⚠️ Traduction non officielle - Cette documentation est une traduction communautaire non officielle de Docker.

Remédiation avec Docker Scout

Table des matières
Availability: Beta

Docker Scout vous aide à remédier aux problèmes de chaîne d'approvisionnement ou de sécurité en fournissant des recommandations basées sur les résultats d'évaluation de politique. Les recommandations sont des actions suggérées que vous pouvez prendre qui améliorent la conformité des politiques, ou qui ajoutent des métadonnées aux images ce qui permet à Docker Scout de fournir de meilleurs résultats d'évaluation et recommandations.

Docker Scout fournit des conseils de remédiation pour les politiques par défaut des types de politique suivants :

Note

La remédiation guidée n'est pas prise en charge pour les politiques personnalisées.

Pour les images qui violent une politique, les recommandations se concentrent sur l'adressage des problèmes de conformité et la correction des violations. Pour les images où Docker Scout est incapable de déterminer la conformité, les recommandations vous montrent comment répondre aux prérequis qui assurent que Docker Scout peut évaluer avec succès la politique.

Voir les recommandations

Les recommandations apparaissent sur les pages de détails de politique du Tableau de bord Docker Scout. Pour accéder à cette page :

  1. Allez à la page Politiques dans le Tableau de bord Docker Scout.
  2. Sélectionnez une politique dans la liste.

La page de détails de politique groupe les résultats d'évaluation en deux onglets différents selon le statut de politique :

  • Violations
  • Conformité inconnue

L'onglet Violations liste les images qui ne se conforment pas à la politique sélectionnée. L'onglet Conformité inconnue liste les images pour lesquelles Docker Scout est incapable de déterminer le statut de conformité. Lorsque la conformité est inconnue, Docker Scout a besoin de plus d'informations sur l'image.

Pour voir les actions recommandées pour une image, survolez une des images dans la liste pour révéler un bouton Voir les corrections.

Remédiation pour les violations de politique

Sélectionnez le bouton Voir les corrections pour ouvrir le panneau latéral de remédiation contenant les actions recommandées pour votre image.

S'il y a plus d'une recommandation disponible, la recommandation principale s'affiche comme Correction recommandée. Les recommandations supplémentaires sont listées comme Corrections rapides. Les corrections rapides sont généralement des actions qui fournissent une solution temporaire.

Le panneau latéral peut également contenir une ou plusieurs sections d'aide liées aux recommandations disponibles.

Remédiation Images de Base à Jour

La politique Images de Base à Jour vérifie si l'image de base que vous utilisez est à jour. Les actions recommandées affichées dans le panneau latéral de remédiation dépendent de la quantité d'informations que Docker Scout a sur votre image. Plus d'informations sont disponibles, meilleures sont les recommandations.

Les scénarios suivants décrivent les différentes recommandations selon les informations disponibles sur l'image.

Aucune attestation de provenance

Pour que Docker Scout puisse évaluer cette politique, vous devez ajouter des attestations de provenance à votre image. Si votre image n'a pas d'attestations de provenance, la conformité est indéterminable.

Attestations de provenance disponibles

Avec les attestations de provenance ajoutées, Docker Scout peut correctement détecter la version d'image de base que vous utilisez. La version trouvée dans les attestations est vérifiée contre la version actuelle du tag correspondant pour déterminer si elle est à jour.

S'il y a une violation de politique, les actions recommandées montrent comment mettre à jour votre version d'image de base vers la dernière version, tout en épinglant également la version d'image de base à un digest spécifique. Pour plus d'informations, voir Épingler les versions d'images de base.

Intégration GitHub activée

Si vous hébergez le code source de votre image sur GitHub, vous pouvez activer l'intégration GitHub. Cette intégration permet à Docker Scout de fournir des conseils de remédiation encore plus utiles, et vous permet d'initier la remédiation pour les violations directement depuis le Tableau de bord Docker Scout.

Avec l'intégration GitHub activée, vous pouvez utiliser le panneau latéral de remédiation pour créer une pull request sur le dépôt GitHub de l'image. La pull request met automatiquement à jour la version d'image de base dans votre Dockerfile vers la version à jour.

Cette remédiation automatisée épingle votre image de base à un digest spécifique, tout en vous aidant à rester à jour lorsque de nouvelles versions deviennent disponibles. Épingler l'image de base à un digest est important pour la reproductibilité, et aide à éviter que des changements indésirables s'infiltrent dans votre chaîne d'approvisionnement.

Pour plus d'informations sur l'épinglage d'image de base, voir Épingler les versions d'images de base.

Remédiation Attestations de Chaîne d'Approvisionnement

La politique par défaut Attestations de Chaîne d'Approvisionnement nécessite des attestations de provenance et SBOM complètes sur les images. Si votre image manque d'une attestation, ou si une attestation ne contient pas assez d'informations, la politique est violée.

Les recommandations disponibles dans le panneau latéral de remédiation aident à vous guider sur quelle action vous devez prendre pour adresser les problèmes. Par exemple, si votre image a une attestation de provenance, mais l'attestation ne contient pas assez d'informations, il vous est recommandé de reconstruire votre image avec la provenance mode=max.