咨询数据库来源和匹配服务

可靠的信息来源对于 Docker Scout 准确评估您的软件制品至关重要。鉴于行业中的来源和方法多种多样，漏洞评估结果出现差异是不可避免的。本文档描述了 Docker Scout 咨询数据库及其 CVE 到软件包的匹配方法，以应对这些差异。

咨询数据库来源

Docker Scout 从多个来源聚合漏洞数据。数据会持续更新，以确保您的安全状况能够实时反映最新的可用信息。

Docker Scout 使用以下软件包仓库和安全追踪器：

• AlmaLinux 安全咨询
• Alpine secdb
• Amazon Linux 安全中心
• Bitnami 漏洞数据库
• CISA 已知被利用漏洞目录
• CISA Vulnrichment
• Chainguard 安全源
• Debian 安全错误追踪器
• Exploit Prediction Scoring System (EPSS)
• GitHub 咨询数据库
• GitLab 咨询数据库
• Golang VulnDB
• 国家漏洞数据库 (NVD)
• Oracle Linux 安全
• Photon OS 3.0 安全咨询
• Python 打包咨询数据库
• RedHat 安全数据
• Rocky Linux 安全咨询
• RustSec 咨询数据库
• SUSE 安全 CVRF
• Ubuntu CVE 追踪器
• Wolfi 安全源
• inTheWild，一个社区驱动的漏洞利用开放数据库

当您为 Docker 组织启用 Docker Scout 时，Docker Scout 平台上会配置一个新的数据库实例。该数据库存储您镜像的软件物料清单 (SBOM) 和其他元数据。当安全咨询对某个漏洞提供新信息时，您的 SBOM 会与 CVE 信息进行交叉引用，以检测其对您的影响。

有关镜像分析工作原理的更多详细信息，请参阅 镜像分析页面。

严重性和评分优先级

Docker Scout 在确定 CVE 的严重性和评分时遵循两个主要原则：

• 来源优先级
• CVSS 版本偏好

对于来源优先级，Docker Scout 遵循以下顺序：

1. 厂商咨询：Scout 始终使用与软件包和版本匹配的来源提供的严重性和评分数据。例如，Debian 软件包使用 Debian 数据。

2. NIST 评分数据：如果厂商未为某个 CVE 提供评分数据，Scout 会回退到 NIST 评分数据。

对于 CVSS 版本偏好，一旦 Scout 选择了来源，当 CVSS v4 和 v3 都可用时，它优先选择 CVSS v4，因为 v4 是更现代且更精确的评分模型。

漏洞匹配

传统工具通常依赖于广泛的 通用产品枚举 (CPE) 匹配，这可能导致许多误报结果。

Docker Scout 使用 软件包 URL (PURLs) 将软件包与 CVE 进行匹配，从而实现更精确的漏洞识别。PURLs 显著降低了误报的可能性，仅关注真正受影响的软件包。

支持的软件包生态系统

Docker Scout 支持以下软件包生态系统：

• .NET
• GitHub 软件包
• Go
• Java
• JavaScript
• PHP
• Python
• RPM
• Ruby
• alpm (Arch Linux)
• apk (Alpine Linux)
• deb (Debian Linux 及其衍生版本)