Scores de santé Docker Scout

Les scores de santé Docker Scout fournissent une évaluation de sécurité, et la santé globale de la chaîne d'approvisionnement, des images sur Docker Hub, vous aidant à déterminer si une image respecte les meilleures pratiques de sécurité établies. Les scores vont de A à F, où A représente le plus haut niveau de sécurité et F le plus bas, offrant une vue d'ensemble de la posture de sécurité de vos images.

Seuls les utilisateurs qui sont membres de l'organisation qui possède le dépôt, et ont au moins un accès "lecture" au dépôt, peuvent voir le score de santé. Le score n'est pas visible aux utilisateurs extérieurs à l'organisation ou aux membres sans accès "lecture".

Affichage des scores de santé

Docker Hub Docker Desktop

Pour voir le score de santé d'une image dans Docker Hub :

1. Allez sur Docker Hub et connectez-vous.
2. Naviguez vers la page de votre organisation.

Dans la liste des dépôts, vous pouvez voir le score de santé de chaque dépôt basé sur le dernier tag poussé.

Pour voir le score de santé d'une image dans Docker Desktop :

1. Ouvrez Docker Desktop et connectez-vous à votre compte Docker.
2. Naviguez vers la vue Images et sélectionnez l'onglet Hub.

Dans la liste des dépôts, la colonne Santé affiche les scores des différents tags qui ont été poussés vers Docker Hub.

Le badge de score de santé est codé par couleur pour indiquer la santé globale du dépôt :

• Vert : Un score de A ou B.
• Jaune : Un score de C.
• Orange : Un score de D.
• Rouge : Un score de E ou F.
• Gris : Un score N/A.

Le score est aussi affiché sur la page Docker Hub pour un dépôt donné, avec chaque politique qui a contribué au score.

Système de notation

Les scores de santé sont déterminés en évaluant les images contre les politiques Docker Scout. Ces politiques s'alignent avec les meilleures pratiques pour la chaîne d'approvisionnement logicielle.

Si vos dépôts d'images sont déjà inscrits avec Docker Scout, le score de santé est calculé automatiquement basé sur les politiques qui sont activées pour votre organisation. Cela inclut aussi toutes les politiques personnalisées que vous avez configurées.

Si vous n'utilisez pas Docker Scout, les scores de santé montrent la conformité de vos images avec les politiques par défaut, un ensemble de règles de chaîne d'approvisionnement recommandées par Docker comme standards fondamentaux pour les images. Vous pouvez activer Docker Scout pour votre organisation et modifier les configurations de politique pour obtenir un score de santé plus pertinent basé sur vos politiques spécifiques.

Processus de notation

Chaque politique se voit attribuer une valeur de points basée sur son type. Si l'image est conforme avec une politique, elle reçoit la valeur de points pour ce type de politique. Le score de santé d'une image est calculé basé sur le pourcentage de points obtenus relativement au total de points possibles.

1. La conformité à la politique est évaluée pour l'image.

2. Les points sont attribués basés sur la conformité avec les politiques.

3. Le pourcentage de points obtenus est calculé :

   Pourcentage = (Points / Total) * 100

4. Le score final est attribué basé sur le pourcentage de points obtenus, comme montré dans le tableau suivant :

   Pourcentage de points (obtenus sur total)	Score
   Plus de 90%	A
   71% à 90%	B
   51% à 70%	C
   31% à 50%	D
   11% à 30%	E
   Moins de 10%	F

Scores N/A

Les images peuvent aussi recevoir un score N/A, ce qui peut arriver quand :

• L'image est plus grande que 4GB (taille compressée).
• L'architecture de l'image n'est pas linux/amd64 ou linux/arm64.
• L'image est trop ancienne et n'a pas de données fraîches pour l'évaluation.

Si vous voyez un score N/A, considérez ce qui suit :

• Si l'image est trop grande, essayez de réduire la taille de l'image.
• Si l'image a une architecture non supportée, reconstruisez l'image pour une architecture supportée.
• Si l'image est trop ancienne, poussez un nouveau tag pour déclencher une évaluation fraîche.

Poids des politiques

Différents types de politique portent des poids variables, qui impactent le score attribué à une image pendant l'évaluation, comme montré dans le tableau suivant.

* Cette politique n'est pas activée par défaut et doit être configurée par l'utilisateur.

Évaluation

Les scores de santé sont calculés pour les nouvelles images poussées vers Docker Hub après que la fonctionnalité soit activée. Les scores de santé vous aident à maintenir des standards de sécurité élevés et assurent que vos applications sont construites sur des images sécurisées et fiables.

Scores de dépôt

En plus des scores d'image individuels (par tag ou digest), chaque dépôt reçoit un score de santé basé sur le dernier tag poussé, fournissant une vue globale du statut de sécurité du dépôt.

Exemple

Pour une image avec un score total possible de 100 points :

• Si l'image ne dévie que d'une politique, valant 5 points, son score sera de 95 sur 100. Puisque ce score est au-dessus du 90e percentile, l'image reçoit un score de santé A.
• Si l'image n'est pas conforme avec plus de politiques et score 65 sur 100, elle reçoit un score de santé C, reflétant sa conformité plus faible.

Améliorer votre score de santé

Pour améliorer le score de santé d'une image, prenez des mesures pour vous assurer que l'image est conforme avec les politiques recommandées de Docker Scout.

1. Allez au tableau de bord Docker Scout.
2. Connectez-vous en utilisant votre Docker ID.
3. Allez aux paramètres de dépôt et activez Docker Scout pour vos dépôts d'images Docker Hub.
4. Analysez la conformité aux politiques pour vos dépôts, et prenez des actions pour vous assurer que vos images sont conformes aux politiques.

Puisque les politiques sont pondérées différemment, priorisez les politiques avec les scores les plus élevés pour un impact plus important sur le score global de votre image.