通过自动漏洞扫描提高DockerHub容器镜像的安全性

软件漏洞扫描器已经存在了一段时间，用来检测黑客在软件开发中利用的漏洞传统上，安全团队在开发人员认为他们的工作完成后运行扫描器，并经常将代码发送回开发人员以修复已知的漏洞在今天的左移模式中，扫描应用于开发和CI周期的早期，但大多数组织必须构建自己的自动化来将扫描功能连接到CI工具昨天的发布改变了这一等式，并提供了内置的自动扫描，作为CI周期中不可或缺的一步

现在，您决定为漏洞扫描配置哪个存储库，以便在每次将映像推送到该存储库时触发扫描扫描完成后，您可以在Hub帐户中查看扫描结果在Hub中，漏洞数据分为几个不同的级别:漏洞严重性摘要，所有漏洞的列表以及特定安全漏洞的详细信息Pro Team用户可以使用扫描功能为每次图像更新创建一个简单的验证方法

步骤1–启用回购扫描功能。

启用回购扫描是一个简单的一键式过程，但默认设置是禁用扫描，因此请确保将其打开。

可以为每个存储库单独配置扫描，因此您可以决定如何开始将扫描合并到您的团队协作周期和应用程序构建步骤中您可以在较小的规模上采用这些过程，并伴随着时间的推移将它们扩展到您组织的其他部门相反，如果您决定您一直在扫描的存储库不再是您开发的活动部分，您可以使用相同的点击选项来禁用扫描

步骤2–运行扫描

启用扫描时，每次将标记图像推送到此存储库时，都会自动触发扫描。

第3步—查看结果

漏洞扫描完成后，可以到Hub中的repo页面查看扫描结果Hub repo页面的general选项卡包含所有repo映像扫描结果的摘要，它将显示每次扫描期间识别的高，中和低漏洞的数量

单击特定标记的漏洞部分会将您带到该标记的漏洞选项卡，该选项卡显示扫描过程中发现的漏洞总数漏洞选项卡包括扫描严重性的摘要，并向您显示已扫描漏洞的完整列表

漏洞列表是有组织的，因此您可以首先看到最严重的漏洞严重性较高的问题优先于严重性较低的问题，相同严重性的漏洞由通用漏洞评分系统按降序排列CVSS分数是一种已发布的标准，用于为软件漏洞的严重性分配数值漏洞列表还包括常见漏洞和披露，这是一个众所周知的网络安全漏洞的标识号，以及包含该漏洞的软件包的名称和版本如果可用，已修复列包含已解决漏洞的同一软件包的更高版本

已修复列旁边是Snyk网站页面的弹出链接，提供了有关此特定漏洞的详细信息。

漏洞列表是有组织的，因此您可以首先看到最严重的漏洞严重性较高的问题优先于严重性较低的问题，相同严重性的漏洞由通用漏洞评分系统按降序排列CVSS分数是一种已发布的标准，用于为软件漏洞的严重性分配数值漏洞列表还包括常见漏洞和披露，这是一个众所周知的网络安全漏洞的标识号，以及包含该漏洞的软件包的名称和版本如果可用，已修复列包含已解决漏洞的同一软件包的更高版本

已修复列旁边是Snyk网站页面的弹出链接，提供了有关此特定漏洞的详细信息。