コンテナー イメージは多くの場合、ほかのコンテナー イメージやソフトウェア パッケージのレイヤーから構築されています。これらのレイヤーやパッケージには、コンテナーとコンテナーで実行されるアプリケーションが攻撃に対して脆弱になる、脆弱性が含まれている可能性があります。
Docker Scout は、これらの脆弱性の発見と修正を積極的に支援し、より安全なソフトウェア サプライ チェーンを構築できるようにします。Docker Scout はイメージを分析し、ソフトウェア部品表 (SBOM) と呼ばれるパッケージとレイヤーの完全なインベントリを作成します。そして、このインベントリを継続的に更新される脆弱性データベースと関連付けて、イメージ内の脆弱性を特定します。
Docker Scout は、Docker Desktop、Docker Hub、Docker CLI、Docker Scout Dashboard で使用できます。イメージを JFrog Artifactory でホストしている場合は、Docker Scout を使ってイメージを分析することも可能です。
次のビデオでは、Docker Scout を使用して、報告された脆弱性を修復するワークフローを示します。
情報
Docker Scout の無料プランでは、無制限のローカル イメージ分析と最大 3 つのリモート リポジトリを利用できます。それ以上必要な場合は、プランをアップグレードしてください。
Docker Scout は、Docker Desktop のローカルに保存されたすべてのイメージを分析し、イメージをビルドする際に最新の脆弱性情報を提供します。
詳細は、「高度なイメージ分析」の説明を参照してください。
Docker Hub のリポジトリで高度なイメージ分析を有効にすると、Docker Scout は、Docker Hub にイメージをプッシュするたびにイメージを分析し、そのリポジトリのすべてのタグ ビューに分析結果を表示します。
分析結果は継続的に更新され、Docker Scout が新しい CVE を認識すると、イメージの脆弱性レポートは常に最新の状態になります。イメージを再スキャンする必要はありません。
詳細は、「高度なイメージ分析」の説明を参照してください。
docker scout CLI プラグインは、ローカルおよびリモートのイメージで Docker Scout を使用するためのターミナル インターフェイスを提供します。
CLI を使用して、イメージを分析し、テキスト形式で分析レポートを表示できます。結果は、直接 stdout に出力することも、SARIF (Static Analysis Results Interchange Format) などの構造化形式でファイルにエクスポートすることもできます。
docker scout CLI の使い方の詳細は、リファレンス ドキュメントを参照してください。
このプラグインは、Docker Desktop 4.17 以降、およびスタンドアロン バイナリとして利用できます。
プラグインをインストールするには、以下のコマンドを実行します。
$ curl -fsSL https://raw.githubusercontent.com/docker/scout-cli/main/install.sh -o install-scout.sh $ sh install-scout.sh注意
インターネットからダウンロードしたスクリプトは、ローカルで実行する前に必ず調べてください。潜在的なリスクやスクリプトの制限についてよく理解したうえで、インストールしてください。
プラグインを手動でインストールする場合は、プラグインのリポジトリに詳しい手順があります。
プラグインはコンテナー イメージや GitHub アクションとしても利用できます。
Docker Scout Dashboard は、組織内のイメージの分析とセキュリティ ステータスをチームで共有するのに役立ちます。また、ダッシュボードを使用して一度に複数のリポジトリの分析を有効にすることもできます。
詳細は、「Docker Scout Dashboard」の説明を参照してください。
JFrog Artifactory または JFrog Container Registry のユーザーは Docker Scout を統合することで、ローカルおよびリモートでイメージの自動分析を有効にできます。詳細は、「Artifactory との統合」を参照してください。
次のビデオでは、リポジトリ上で Docker Scout を有効にする方法を示します。