Docker Scout
Docker Scout untersucht Docker-Images auf Sicherheitslücken (CVEs), veraltete Pakete und andere Risiken.
Installation (Linux)
mkdir -p $HOME/.docker/scout
cd $HOME/.docker/scout
curl -LO https://github.com/docker/scout-cli/releases/download/v1.20.4/docker-scout_1.20.4_linux_amd64.tar.gz
tar xfz docker-scout_1.20.4_linux_amd64.tar.gz
rm docker-scout_1.20.4_linux_amd64.tar.gz README.md
chmod +x docker-scout
Erstelle ~/.docker/config.json:
{
"cliPluginsExtraDirs": ["/root/.docker/scout"]
}
docker scout version
Login
docker login -u [docker-username]
# Passwort: PAT Token (Read-Berechtigung)
PAT Token erstellen unter: https://app.docker.com/accounts/[username]/settings/personal-access-tokens
CVE-Analyse
docker scout cves postgres:18.3-alpine3.23
docker scout cves --only-severity critical,high postgres:18.3-alpine3.23
Common Vulnerability Scoring System (CVSS)
CVSS bewertet die Schwere von Sicherheitslücken auf einer Skala von 0 bis 10:
| Score | Kategorie |
|---|---|
| 9.0 – 10.0 | Critical |
| 7.0 – 8.9 | High |
| 4.0 – 6.9 | Medium |
| 0.1 – 3.9 | Low |
| 0.0 | None |
CVSS-Score online berechnen: https://nvd.nist.gov/vuln-metrics/cvss/v4-calculator
Exploit Prediction Scoring System (EPSS)
EPSS bewertet die Wahrscheinlichkeit, dass eine Sicherheitslücke aktiv ausgenutzt wird (0–1). EPSS sollte als Ergänzung zum CVSS-Score verwendet werden.
# CVEs mit EPSS-Score anzeigen
docker scout cves --only-severity critical,high --epss postgres:18.3-alpine3.23
# Nur CVEs ab der 15. EPSS-Perzentile anzeigen
docker scout cves --only-severity critical,high --epss --epss-percentile 0.15 postgres:18.3-alpine3.23
Policies
# Image gegen Organisations-Policies prüfen
docker scout policy --org trutzio postgres:18.3-alpine3.23
Policies verwalten unter: https://scout.docker.com/reports/org/[org]/policies