译者 | 陈峻

审校 | 重楼

最近，我找到了一些既可以扫描Docker镜像中的漏洞，又能够被轻松地集成到CI/CD中的工具。除去那些较为老旧且不太直观的，本文我将向您介绍四种免费、最新且易用的扫描工具。

基本原理

所有这些工具的工作原理都比较类似。它们使用的是如下两步流程：

1. 生成软件物料清单(Software Bill of Materials，SBOM)。
2. 将SBOM与不同的漏洞数据库进行比较。

此处的SBOM是针对那些Docker镜像中运行的系统和应用而安装的、所有软件依赖包列表。由于系统级软件包经常被忽略，因此在管道中进行Docker扫描是非常重要的。这就引出了第二步，即：根据多个漏洞数据库，对SBOM中的每个软件包进行检查，以发现其中是否存在漏洞。而且在搜寻和匹配时，软件包的版本也应被考虑在内。

1. Docker Scout

该工具由Docker公司开发并已内置到了Docker Desktop应用中。遗憾的是，它并没有与Docker的CLI捆绑，所以您需要手动进行安装。即，在Docker的CLI环境中，您需要使用如下单行命令来完成安装：

curl -sSfL https://raw.githubusercontent.com/docker/scout-cli/main/install.sh | sh -s --