Una delle ultime novità in casa Docker è Docker Scout: un tool per analizzare e gestire le vulnerabilità presenti nelle immagini prodotte disponibile a partire dalla versione 4.17 di Docker Desktop.

Infatti, quando creiamo delle immagini per le nostre applicazioni, stiamo utilizzando diverse immagini di partenza che, stratificandosi, creano una nuova immagine. Questo vuol dire che alcuni di questi layer potrebbe avere delle vulnerabilità di sicurezza che rendono la nostra immagine non “sicura”.

Docker Scout è un tool che permette agli utenti di essere proattivi nel lavorare sulla sicurezza dei container: eseguendo una scansione di un’immagine, analizza ogni layer presente nell’immagine e crea un elenco dettagliato delle componenti che la compongono, fornendo un Software Bill of Materials (abbreviato in SBOM).

Con questa lista, Docker Scout verifica attraverso un database di vulnerabilità note quali sono le possibili patch da applicare e le riporta all’utente.

Questo strumento può essere usato con Docker Desktop, Docker Hub o anche attraverso la CLI di Docker, come riportato in questo esempio: eseguendo l’accesso all’account Docker e permettendo l’analisi del repository di interesse, è possibile lanciare il comando docker scout cves per analizzare l’immagine e le relative vulnerabilità.

docker login
docker scout repo enable --org ORG_NAME MY-ORG/MY-REPO
docker scout cves ORG_NAME/MY-REPO:1.0.0

Credits to Docker official documentation

Docker Scout può essere utilizzato senza limiti per le immagini locali, e al massimo per 3 repository repoti nel caso di un account free; per saperne di più sui prezzi delle licenze, è possibile consultare la documentazione ufficiale.

Risorse utili

• Documentazione ufficiale
• Repository ufficiale