Docker Scout CVE 对于基础 Microsoft .NET Docker 映像的严重性级别不正确

我试图了解基本 Microsoft aspnet docker 映像的安全性有什么问题，例如 mcr.microsoft.com/dotnet/aspnet:6.0 或 aspnet:6.0-bookworm-slim。

我提取了实际图像并通过 docker scout 获得了信息，它们只有低严重性 cve：

> docker scout quickview mcr.microsoft.com/dotnet/aspnet:6.0-bookworm-slim
 
Your image  mcr.microsoft.com/dotnet/aspnet:6.0-bookworm-slim  │    0C     0H     0M    20L

但是如果你更仔细地看的话：

> docker scout cves mcr.microsoft.com/dotnet/aspnet:6.0-bookworm-slim

你可以找到这样的cve：

0C     0H     0M     2L  perl 5.36.0-7
pkg:deb/debian/[email protected]?os_distro=bookworm&os_name=debian&os_version=12

    x LOW CVE-2023-31486
      https://scout.docker.com/v/CVE-2023-31486
      Affected range : >=5.36.0-7
      Fixed version  : not fixed

    x LOW CVE-2011-4116
      https://scout.docker.com/v/CVE-2011-4116
      Affected range : >=5.36.0-7
      Fixed version  : not fixed

最后当您转到 CVE-2023-31486 页面时 https://scout.docker.com/vulnerability/id/CVE-2023-31486?utm_source=desktop&utm_medium=ExternalLink

您将在 nist 上看到（这是我们推荐的此 CVE 来源），此 CVE 的得分为 8.1，严重性很高！

在这些用于 aspnet 运行时应用程序的官方基础映像中，有很多此类严重性较高的 CVE。

我的第一个问题，为什么 Docker Scout 在其报告中混淆了绝对错误的 cve 级别？ 我的第二个问题是，将基础 Microsoft 映像用于 .net 应用程序的最佳实践是什么？我应该使用更新的组件创建自定义图像吗？或者也许我应该只使用高山图像？