我试图了解基本 Microsoft aspnet docker 映像的安全性有什么问题,例如 mcr.microsoft.com/dotnet/aspnet:6.0 或 aspnet:6.0-bookworm-slim。
我提取了实际图像并通过 docker scout 获得了信息,它们只有低严重性 cve:
> docker scout quickview mcr.microsoft.com/dotnet/aspnet:6.0-bookworm-slim
Your image mcr.microsoft.com/dotnet/aspnet:6.0-bookworm-slim │ 0C 0H 0M 20L
但是如果你更仔细地看的话:
> docker scout cves mcr.microsoft.com/dotnet/aspnet:6.0-bookworm-slim
你可以找到这样的cve:
0C 0H 0M 2L perl 5.36.0-7
pkg:deb/debian/[email protected]?os_distro=bookworm&os_name=debian&os_version=12
x LOW CVE-2023-31486
https://scout.docker.com/v/CVE-2023-31486
Affected range : >=5.36.0-7
Fixed version : not fixed
x LOW CVE-2011-4116
https://scout.docker.com/v/CVE-2011-4116
Affected range : >=5.36.0-7
Fixed version : not fixed
最后当您转到 CVE-2023-31486 页面时 https://scout.docker.com/vulnerability/id/CVE-2023-31486?utm_source=desktop&utm_medium=ExternalLink
您将在 nist 上看到(这是我们推荐的此 CVE 来源),此 CVE 的得分为 8.1,严重性很高!
在这些用于 aspnet 运行时应用程序的官方基础映像中,有很多此类严重性较高的 CVE。
我的第一个问题,为什么 Docker Scout 在其报告中混淆了绝对错误的 cve 级别? 我的第二个问题是,将基础 Microsoft 映像用于 .net 应用程序的最佳实践是什么?我应该使用更新的组件创建自定义图像吗?或者也许我应该只使用高山图像?
示例中的图像基于 Debian Bookworm。 Docker Scout 更喜欢 Linux 发行版的供应商和安全研究团队的严重性和评分。
因此,在您的具体示例中,CVE-2023-31486 在 NIST 上被标记为“高”,但在 https://security-tracker.debian.org/tracker/CVE-2023-31486 上被视为“不重要”。
如果有帮助请告诉我,
cd