⚠️ Traduction non officielle - Cette documentation est une traduction communautaire non officielle de Docker.

Notes de version Docker Scout

Table des matières

Cette page contient des informations sur les nouvelles fonctionnalités, améliorations, problèmes connus et corrections de bogues dans les versions Docker Scout. Ces notes de version couvrent la plateforme Docker Scout, incluant le tableau de bord. Pour les notes de version CLI, consultez Notes de version CLI Docker Scout.

Q4 2024

Nouvelles fonctionnalités et améliorations publiées au quatrième trimestre 2024.

2024-10-09

L'évaluation de politique a passé de l'accès anticipé à la disponibilité générale.

Changements d'interface utilisateur du tableau de bord Docker Scout :

  • Sur le tableau de bord Docker Scout, sélectionner une carte de politique ouvre maintenant la page de détails de politique au lieu de la page de résultats de politique.
  • La page de résultats de politique et le panneau latéral de détails de politique sont maintenant en lecture seule. Les actions de politique (modifier, désactiver, supprimer) sont maintenant accessibles depuis la page de détails de politique.

Q3 2024

Nouvelles fonctionnalités et améliorations publiées au troisième trimestre 2024.

2024-09-30

Dans cette version, nous avons changé le fonctionnement des politiques personnalisées. Avant, les politiques personnalisées étaient créées en copiant une politique prête à l'emploi. Maintenant, vous pouvez personnaliser les politiques soit en modifiant la politique par défaut d'un type de politique qui agit comme un modèle. Les politiques par défaut dans Docker Scout sont aussi implémentées basées sur ces types.

Pour plus d'informations, consultez types de politique.

2024-09-09

Cette version change la façon dont les scores de santé sont calculés dans Docker Scout. Le calcul du score de santé prend maintenant en compte les politiques optionnelles et personnalisées que vous avez configurées pour votre organisation.

Cela signifie que si vous avez activé, désactivé ou personnalisé l'une des politiques par défaut, Docker Scout prendra maintenant ces politiques en compte lors du calcul du score de santé pour les images de votre organisation.

Si vous n'avez pas encore activé Docker Scout pour votre organisation, le calcul du score de santé sera basé sur les politiques prêtes à l'emploi.

2024-08-13

Cette version change les politiques prêtes à l'emploi pour s'aligner avec les configurations de politique utilisées pour évaluer les scores de santé Docker Scout.

Les politiques par défaut prêtes à l'emploi sont maintenant :

  • Aucune vulnérabilité de haut profil
  • Aucune vulnérabilité critique ou élevée corrigeable
  • Images de base approuvées
  • Utilisateur non-root par défaut
  • Attestations de chaîne d'approvisionnement
  • Images de base à jour
  • Aucune licence AGPL v3

Les configurations pour ces politiques sont maintenant les mêmes que les configurations utilisées pour calculer les scores de santé. Précédemment, les politiques prêtes à l'emploi avaient des configurations différentes de celles des politiques de score de santé.

Q2 2024

Nouvelles fonctionnalités et améliorations publiées au deuxième trimestre 2024.

2024-06-27

Cette version introduit le support initial des Exceptions dans le tableau de bord Docker Scout. Les exceptions vous permettent de supprimer les vulnérabilités trouvées dans vos images (faux positifs), en utilisant des documents VEX. Attachez des documents VEX aux images comme attestations, ou intégrez-les dans les systèmes de fichiers d'image, et Docker Scout détectera automatiquement et incorporera les déclarations VEX dans les résultats d'analyse d'image.

La nouvelle page Exceptions liste toutes les exceptions affectant les images de votre organisation. Vous pouvez aussi aller à la vue d'image dans le tableau de bord Docker Scout pour voir toutes les exceptions qui s'appliquent à une image donnée.

Pour plus d'informations, voir Gérer les exceptions de vulnérabilité.

2024-05-06

Nouveau point de terminaison HTTP qui vous permet de récupérer des données de Docker Scout avec Prometheus, pour créer vos propres tableaux de bord de vulnérabilité et de politique avec Grafana. Pour plus d'informations, voir Exportateur de métriques Docker Scout.

Q1 2024

Nouvelles fonctionnalités et améliorations publiées au premier trimestre 2024.

2024-03-29

La politique Aucune vulnérabilité de haut profil signale maintenant la vulnérabilité de porte dérobée xz CVE-2024-3094. Toutes les images de votre organisation Docker contenant la version de xz/liblzma avec la porte dérobée seront non conformes à la politique Aucune vulnérabilité de haut profil.

2024-03-20

La politique Aucune vulnérabilité critique ou élevée corrigeable prend maintenant en charge une option de configuration Vulnérabilités corrigeables uniquement, qui vous permet de décider s'il faut uniquement signaler les vulnérabilités avec une version de correctif disponible.

2024-03-14

La politique Toutes les vulnérabilités critiques a été supprimée. La politique Aucune vulnérabilité critique ou élevée corrigeable fournit une fonctionnalité similaire, et sera mise à jour à l'avenir pour permettre une personnalisation plus étendue, rendant la politique Toutes les vulnérabilités critiques maintenant supprimée redondante.

2024-01-26

L'intégration Azure Container Registry est passée de Accès anticipé à Disponibilité générale.

Pour plus d'informations et les instructions d'installation, voir Intégrer Azure Container Registry.

2024-01-23

Nouvelle politique Images de base approuvées, qui vous permet de restreindre quelles images de base vous autorisez dans vos builds. Vous définissez les images de base autorisées en utilisant un motif. Les images de base dont la référence d'image ne correspond pas aux motifs spécifiés font échouer la politique.

2024-01-12

Nouvelle politique Utilisateur non-root par défaut, qui signale les images qui s'exécuteraient comme super-utilisateur root avec tous les privilèges d'administration système par défaut. Spécifier un utilisateur non-root par défaut pour vos images peut aider à renforcer votre sécurité d'exécution.

2024-01-11

Lancement bêta d'une nouvelle application GitHub pour intégrer Docker Scout avec votre gestion de code source, et une fonctionnalité de remédiation pour vous aider à améliorer la conformité aux politiques.

La remédiation est une nouvelle capacité pour Docker Scout de fournir des actions recommandées contextuelles basées sur les résultats d'évaluation de politique sur comment vous pouvez améliorer la conformité.

L'intégration GitHub améliore la fonctionnalité de remédiation. Avec l'intégration activée, Docker Scout est capable de connecter les résultats d'analyse à la source. Ce contexte supplémentaire sur la façon dont vos images sont construites est utilisé pour générer de meilleures recommandations plus précises.

Pour plus d'informations sur les types de recommandations que Docker Scout peut fournir pour vous aider à améliorer la conformité aux politiques, voir Remédiation.

Pour plus d'informations sur comment autoriser l'application GitHub Docker Scout sur vos dépôts sources, voir Intégrer Docker Scout avec GitHub.

Q4 2023

Nouvelles fonctionnalités et améliorations publiées au quatrième trimestre 2023.

2023-12-20

L'intégration Azure Container Registry est passée de Bêta à Accès anticipé.

Pour plus d'informations et les instructions d'installation, voir Intégrer Azure Container Registry.

2023-12-06

Nouvelle intégration SonarQube et politique associée. SonarQube est une plateforme open-source pour l'inspection continue de la qualité du code. Cette intégration vous permet d'ajouter les portes de qualité de SonarQube comme évaluation de politique dans Docker Scout. Activez l'intégration, poussez vos images, et voyez les conditions de porte de qualité SonarQube apparaître dans la nouvelle politique Portes de qualité SonarQube réussies.

2023-12-01

Beta release of a new Azure Container Registry (ACR) integration, which lets Docker Scout pull and analyze images in ACR repositories automatically.

To learn more about the integration and how to get started, see Integrate Azure Container Registry.

2023-11-21

New configurable policies feature, which enables you to tweak the out-of-the-box policies according to your preferences, or disable them entirely if they don't quite match your needs. Some examples of how you can adapt policies for your organization include:

  • Change the severity-thresholds that vulnerability-related policies use
  • Customize the list of "high-profile vulnerabilities"
  • Add or remove software licenses to flag as "copyleft"

For more information, see Configurable policies.

2023-11-10

New Supply chain attestations policy for helping you track whether your images are built with SBOM and provenance attestations. Adding attestations to images is a good first step in improving your supply chain conduct, and is often a prerequisite for doing more.

2023-11-01

New No high-profile vulnerabilities policy, which ensures your artifacts are free from a curated list of vulnerabilities widely recognized to be risky.

2023-10-04

This marks the General Availability (GA) release of Docker Scout.

The following new features are included in this release:

Policy evaluation

Policy Evaluation is an early access feature that helps you ensure software integrity and track how your artifacts are doing over time. This release ships with four out-of-the-box policies, enabled by default for all organizations.

Policy overview in Dashboard
  • Base images not up-to-date evaluates whether the base images are out of date, and require updating. Up-to-date base images help you ensure that your environments are reliable and secure.
  • Critical and high vulnerabilities with fixes reports if there are vulnerabilities with critical or high severity in your images, and where there's a fix version available that you can upgrade to.
  • All critical vulnerabilities looks out for any vulnerabilities of critical severity found in your images.
  • Packages with AGPLv3, GPLv3 license helps you catch possibly unwanted copyleft licenses used in your images.

You can view and evaluate policy status for images using the Docker Scout Dashboard and the docker scout policy CLI command. For more information, refer to the Policy Evaluation documentation.

Amazon ECR integration

The new Amazon Elastic Container Registry (ECR) integration enables image analysis for images hosted in ECR repositories.

You set up the integration using a pre-configured CloudFormation stack template that bootstraps the necessary AWS resources in your account. Docker Scout automatically analyzes images that you push to your registry, storing only the metadata about the image contents, and not the container images themselves.

The integration offers a straightforward process for adding additional repositories, activating Docker Scout for specific repositories, and removing the integration if needed. To learn more, refer to the Amazon ECR integration documentation.

Sysdig integration

The new Sysdig integration gives you real-time security insights for your Kubernetes runtime environments.

Enabling this integration helps you address and prioritize risks for images used to run your production workloads. It also helps reduce monitoring noise, by automatically excluding vulnerabilities in programs that are never loaded into memory, using VEX documents.

For more information and getting started, see Sysdig integration documentation.

JFrog Artifactory integration

The new JFrog Artifactory integration enables automatic image analysis on Artifactory registries.

Animation of how to integrate Artifactory

The integration involves deploying a Docker Scout Artifactory agent that polls for new images, performs analysis, and uploads results to Docker Scout, all while preserving the integrity of image data. Learn more in the Artifactory integration documentation

Known limitations

  • Image analysis only works for Linux images
  • Docker Scout can't process images larger than 12GB in compressed size
  • Creating an image SBOM (part of image analysis) has a timeout limit of 4 minutes