⚠️ Traduction non officielle - Cette documentation est une traduction communautaire non officielle de Docker.

Notes de version de la CLI Docker Scout

Table des matières

Cette page contient des informations sur les nouvelles fonctionnalités, améliorations, problèmes connus et corrections de bogues dans le plugin CLI Docker Scout et l'action GitHub docker/scout-action.

1.15.0

2024-10-31

Nouveau

  • Nouveau drapeau --format=cyclonedx pour la commande docker scout sbom pour sortir le SBOM au format CycloneDX.

Améliorations

  • Utilise l'ordre de tri élevé vers bas pour le résumé CVE.
  • Support pour activer et désactiver les dépôts qui sont activés par docker scout push ou docker scout watch.

Corrections de bogues

  • Améliore les messages lors de l'analyse de répertoires oci sans attestations. Seules les images mono-plateforme et les images multi-plateforme avec attestations sont supportées. Les images multi-plateforme sans attestations ne sont pas supportées.
  • Améliore les classificateurs et l'indexeur SBOM :
    • Ajoute un classificateur pour Liquibase lpm.
    • Ajoute un classificateur binaire Rakudo Star/MoarVM.
    • Ajoute des classificateurs binaires pour les utilitaires silverpeas.
  • Améliore la lecture et la mise en cache des attestations avec le magasin d'images containerd.

1.14.0

2024-09-24

Nouveau

  • Ajoute des informations de suppression au niveau CVE dans la commande docker scout cves.

Corrections de bogues

  • Corrige la liste des CVE pour les images pendantes, par exemple : local://sha256:...
  • Corrige la panique lors de l'analyse d'une entrée de système de fichiers, par exemple avec docker scout cves fs://.

1.13.0

2024-08-05

Nouveau

  • Ajoute l'option de filtre --only-policy aux commandes docker scout quickview, docker scout policy et docker scout compare.
  • Ajoute l'option de filtre --ignore-suppressed aux commandes docker scout cves et docker scout quickview pour filtrer les CVE affectées par les exceptions.

Corrections de bogues et améliorations

  • Utilise le nom de politique conditionnel dans les vérifications.

  • Ajoute le support pour détecter la version d'un projet Go définie en utilisant les drapeaux du linker, par exemple :

    $ go build -ldflags "-X main.Version=1.2.3"

1.12.0

2024-07-31

Nouveau

  • Affiche uniquement les vulnérabilités de l'image de base :

    CLI 
    $ docker scout cves --only-base IMAGE
    Action GitHub 
    uses: docker/scout-action@v1
with:
  command: cves
  image: [IMAGE]
  only-base: true

  • Prend en compte VEX dans la commande quickview.

    CLI 
    $ docker scout quickview IMAGE --only-vex-affected --vex-location ./path/to/my.vex.json
    Action GitHub 
    uses: docker/scout-action@v1
with:
  command: quickview
  image: [IMAGE]
  only-vex-affected: true
  vex-location: ./path/to/my.vex.json

  • Prend en compte VEX dans la commande cves (Actions GitHub).

    Action GitHub 
    uses: docker/scout-action@v1
with:
  command: cves
  image: [IMAGE]
  only-vex-affected: true
  vex-location: ./path/to/my.vex.json

Corrections de bogues et améliorations

  • Met à jour github.com/docker/docker vers v26.1.5+incompatible pour corriger CVE-2024-41110.
  • Met à jour Syft vers 1.10.0.

1.11.0

2024-07-25

Nouveau

  • Filtre les CVE listés dans le catalogue CISA des Vulnérabilités Connues Exploitées.

    CLI 
    $ docker scout cves [IMAGE] --only-cisa-kev

... (sortie coupée) ...
## Paquets et Vulnérabilités

0C     1H     0M     0L  io.netty/netty-codec-http2 4.1.97.Final
pkg:maven/io.netty/[email protected]

✗ HIGH CVE-2023-44487  CISA KEV  [OWASP Top Ten 2017 Category A9 - Using Components with Known Vulnerabilities]
  https://scout.docker.com/v/CVE-2023-44487
  Affected range  : <4.1.100
  Fixed version   : 4.1.100.Final
  CVSS Score      : 7.5
  CVSS Vector     : CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
... (sortie coupée) ...
    Action GitHub 
    uses: docker/scout-action@v1
with:
  command: cves
  image: [IMAGE]
  only-cisa-kev: true

  • Ajoute de nouveaux classificateurs :

    • spiped
    • swift
    • eclipse-mosquitto
    • znc

Corrections de bogues et améliorations

  • Permet la correspondance VEX quand aucun sous-composant.
  • Corrige la panique lors de l'attachement d'un document VEX invalide.
  • Corrige la racine du document SPDX.
  • Corrige la détection de l'image de base quand l'image utilise SCRATCH comme image de base.

1.10.0

2024-06-26

Corrections de bogues et améliorations

  • Ajoute de nouveaux classificateurs :

    • irssi
    • Backdrop
    • CrateDB CLI (Crash)
    • monica
    • Openliberty
    • dumb-init
    • friendica
    • redmine

  • Corrige l'originateur avec espace uniquement sur le paquet cassant les exportateurs BuildKit

  • Corrige l'analyse des références d'image dans la déclaration SPDX pour les images avec un digest

  • Support du préfixe sbom:// pour la comparaison d'images :

    CLI 
    $ docker scout compare sbom://image1.json --to sbom://image2.json
    Action GitHub 
    uses: docker/scout-action@v1
with:
  command: compare
  image: sbom://image1.json
  to: sbom://image2.json

1.9.3

2024-05-28

Correction de bogue

  • Corrige une panique lors de la récupération des SBOM en cache.

1.9.1

2024-05-27

Nouveau

  • Ajoute le support pour le format de fichier de scan de conteneur GitLab avec --format gitlab sur la commande docker scout cves.

    Voici un exemple de pipeline :

       docker-build:
  # Utilise l'image docker officielle.
  image: docker:cli
  stage: build
  services:
    - docker:dind
  variables:
    DOCKER_IMAGE_NAME: $CI_REGISTRY_IMAGE:$CI_COMMIT_REF_SLUG
  before_script:
    - docker login -u "$CI_REGISTRY_USER" -p "$CI_REGISTRY_PASSWORD" $CI_REGISTRY

    # Installe curl et la CLI Docker Scout
    - |
      apk add --update curl
      curl -sSfL https://raw.githubusercontent.com/docker/scout-cli/main/install.sh | sh -s --
      apk del curl
      rm -rf /var/cache/apk/*
    # Connexion à Docker Hub requise pour la CLI Docker Scout
    - echo "$DOCKER_HUB_PAT" | docker login --username "$DOCKER_HUB_USER" --password-stdin

  # Toutes les branches sont taguées avec $DOCKER_IMAGE_NAME (par défaut slug de référence de commit)
  # La branche par défaut est aussi taguée avec `latest`
  script:
    - docker buildx b --pull -t "$DOCKER_IMAGE_NAME" .
    - docker scout cves "$DOCKER_IMAGE_NAME" --format gitlab --output gl-container-scanning-report.json
    - docker push "$DOCKER_IMAGE_NAME"
    - |
      if [[ "$CI_COMMIT_BRANCH" == "$CI_DEFAULT_BRANCH" ]]; then
        docker tag "$DOCKER_IMAGE_NAME" "$CI_REGISTRY_IMAGE:latest"
        docker push "$CI_REGISTRY_IMAGE:latest"
      fi
  # Exécute ce travail dans une branche où un Dockerfile existe
  rules:
    - if: $CI_COMMIT_BRANCH
      exists:
        - Dockerfile
  artifacts:
    reports:
      container_scanning: gl-container-scanning-report.json

Corrections de bogues et améliorations

  • Support des images mono-architecture pour la commande docker scout attest add
  • Indique sur les commandes docker scout quickview et docker scout recommendations si la provenance de l'image n'a pas été créée en utilisant mode=max. Sans mode=max, les images de base peuvent être incorrectement détectées, résultant en des résultats moins précis.

1.9.0

2024-05-24

Abandonnée en faveur de 1.9.1.

1.8.0

2024-04-25

Corrections de bogues et améliorations

  • Améliore le format du score et percentile EPSS.

    Avant :

    EPSS Score      : 0.000440
EPSS Percentile : 0.092510

    Après :

    EPSS Score      : 0.04%
EPSS Percentile : 9e percentile

  • Corrige la sortie markdown de la commande docker scout cves lors de l'analyse du système de fichiers local. docker/scout-cli#113

1.7.0

2024-04-15

Nouveau

  • La commande docker scout push est maintenant pleinement disponible : analyser les images localement et pousser le SBOM vers Docker Scout.

Corrections de bogues et améliorations

  • Corrige l'ajout d'attestations avec docker scout attestation add aux images dans des dépôts privés

  • Corrige le traitement d'image pour les images basées sur l'image de base vide scratch

  • Un nouveau protocole sbom:// pour les commandes CLI Docker Scout vous permet de lire un SBOM Docker Scout depuis l'entrée standard.

    $ docker scout sbom IMAGE | docker scout qv sbom://

  • Ajoute un classificateur pour les paquets Joomla

1.6.4

2024-03-26

Corrections de bogues et améliorations

  • Corrige la gestion d'époque pour les distributions Linux basées sur RPM

1.6.3

2024-03-22

Corrections de bogues et améliorations

  • Améliore la détection de paquets pour ignorer les paquets référencés mais non installés.

1.6.2

2024-03-22

Corrections de bogues et améliorations

  • Les données EPSS sont maintenant récupérées via le backend, par opposition au client CLI.
  • Corrige un problème lors du rendu de sortie markdown en utilisant le préfixe sbom://.

Supprimé

  • Les drapeaux docker scout cves --epss-date et docker scout cache prune --epss ont été supprimés.

1.6.1

2024-03-20
Note

Cette version affecte uniquement l'Action GitHub docker/scout-action.

Nouveau

  • Ajoute le support pour passer des fichiers SBOM au format SDPX ou in-toto SDPX

    uses: docker/scout-action@v1
with:
    command: cves
    image: sbom://alpine.spdx.json

  • Ajoute le support pour les fichiers SBOM au format syft-json

    uses: docker/scout-action@v1
with:
    command: cves
    image: sbom://alpine.syft.json

1.6.0

2024-03-19
Note

Cette version affecte uniquement le plugin CLI, pas l'Action GitHub

Nouveau

  • Ajoute le support pour passer des fichiers SBOM au format SDPX ou in-toto SDPX

    $ docker scout cves sbom://path/to/sbom.spdx.json

  • Ajoute le support pour les fichiers SBOM au format syft-json

    $ docker scout cves sbom://path/to/sbom.syft.json

  • Lit les fichiers SBOM depuis l'entrée standard

    $ syft -o json alpine | docker scout cves sbom://

  • Priorise les CVE par score EPSS

    • --epss pour afficher et prioriser les CVE
    • --epss-score et --epss-percentile pour filtrer par score et percentile
    • Vide les fichiers EPSS en cache avec docker scout cache prune --epss

Corrections de bogues et améliorations

  • Utilise le cache Windows depuis WSL2

    Lorsque dans WSL2 avec Docker Desktop en cours d'exécution, le plugin CLI Docker Scout utilise maintenant le cache de Windows. De cette façon, si une image a été indexée par exemple par Docker Desktop, il n'y a plus besoin de la ré-indexer côté WSL2.

  • L'indexation est maintenant bloquée dans la CLI si elle a été désactivée en utilisant la fonctionnalité Gestion des Paramètres.

  • Corrige une panique qui se produirait lors de l'analyse d'une entrée oci-dir à image unique

  • Améliore le support d'attestation locale avec le magasin d'images containerd

Versions antérieures

Les notes de version pour les versions antérieures du plugin CLI Docker Scout sont disponibles sur GitHub.