镜像概述

该Docker镜像不包含任何实用工具，其唯一目的是用于测试Docker Scout评分，并通过调试代码以实现更高的评分。

核心功能与特性

• Docker Scout评分测试：专门用于检测Docker Scout评分相关问题
• 调试支持：可用于识别和修复影响Docker Scout评分的各类问题（如基础镜像过时、缺乏供应链证明等）

使用场景

适用于需要测试和优化Docker Scout评分的场景，帮助开发者理解影响评分的因素并进行针对性修复。

使用方法与配置说明

初始Dockerfile示例

以下简单Dockerfile会导致Docker Scout评分较低（示例中为'E'级）：

FROM alpine

RUN apk fix && \
    apk --no-cache --update add git git-lfs gpg less openssh patch perl && \
    git lfs install

VOLUME /git
WORKDIR /git

ENTRYPOINT ["git"]
CMD ["--help"]

初始评分问题分析

使用上述Dockerfile构建的镜像存在以下影响Docker Scout评分的问题：

• 发现可修复的严重或高危漏洞
• 无未批准的基础镜像
• 缺少供应链证明
• 无过时的基础镜像
• 未找到默认非root用户

修复步骤

Update 1: 修复基础镜像相关问题

通过以下命令可以修复"基础镜像过时"和"未批准基础镜像"问题，需本地构建并推送镜像：

docker buildx build --tag alpine/used-for-docker-scout-score-check-only:v2 \
    --push --attest type=provenance,mode=max .

参考文档：

• No outdated base images
• SLSA provenance attestations

Update 2: CI环境中构建问题处理

上述docker buildx build命令在MacBook上可正常工作，但在CI流水线中使用--attest选项时可能会出现以下错误：

unknown flag: --attest
See 'docker buildx build --help'.

原因分析：CI环境中可能存在Docker版本或Buildx配置问题，参考Docker官方文档CircleCI集成指南可解决该问题。

参考链接：

• CircleCI流水线错误详情

评分优化结果

通过上述修复步骤，在GitHub Action流水线中已将Docker Scout评分提升至B级。相关GitHub Action流水线配置可参考：[***]