Documentação do Comando docker scan

Visão Geral

O comando docker scan é uma ferramenta de verificação de vulnerabilidades integrada ao Docker. Ele permite analisar imagens Docker em busca de possíveis falhas de segurança, utilizando a tecnologia de análise de vulnerabilidades da Snyk.

Nota: O docker scan não é parte integrante do Docker e precisa ser instalado separadamente. Agora, o pacote docker-scan-plugin está disponível para instalação.

Requisitos

• Docker instalado na máquina.
• Conexão com a internet para acessar a base de dados de vulnerabilidades.
• Instalação independente do plugin docker-scan-plugin.

Instalação do Plugin

Certifique-se de ter o Docker instalado antes de adicionar o plugin. Você pode instalar o docker-scan-plugin usando o seguinte comando:

sudo apt-get update
sudo apt-get install docker-scan-plugin

Sintaxe

docker scan [OPTIONS] <imagem>

Opções Disponíveis

• -h, --help: Exibe informações de ajuda sobre o comando.
• --accept-license: Aceita os termos da licença do provedor da análise de vulnerabilidades.
• --severity <severidade>: Filtra as vulnerabilidades por severidade (alta, média, baixa). Por padrão, todas as severidades são mostradas.
• --json: Formato de saída em JSON.
• --exclude-base: Exclui verificações de vulnerabilidades na camada base da imagem.

Exemplo de Teste Local

Para realizar um teste local, utilize o seguinte comando:

sudo docker scan --file Dockerfile archive

Onde "archive" é o nome da imagem criada após o build local. Você pode construir a imagem localmente utilizando o comando:

sudo docker build -t archive .

QR Code para a Documentação