docker/scout-sbom-indexer Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务

Docker Scout SBOM Indexer 镜像文档

镜像概述和主要用途

Docker Scout SBOM Indexer 是一款基于现有SBOM生成器能力增强的工具，旨在为容器镜像生成更准确、更丰富的软件物料清单（SBOM）。它特别优化了与BuildKit的集成，通过提升层/漏洞映射精度、整合Go工具链信息及融合多种扫描方法，为容器镜像安全分析提供更可靠的基础数据。

核心功能和特性

• 增强的层/漏洞映射：相比其他SBOM生成器（如syft），Scout SBOM扫描器更注重将软件包与镜像层关联，从而在展示层/漏洞映射时更准确。虽然生成的包列表与syft等工具类似，但能更精准地将包及其漏洞映射到特定镜像层。

• Go工具链信息整合：当检测到Go二进制文件时，会自动将Go工具链信息整合到对应层中。尽管可能存在少量误报，但默认启用此功能以提供更多下游灵活性。

• 融合多种扫描方法：结合了syft和trivy的SBOM扫描技术，生成的元数据比单一扫描方法更丰富，提升了SBOM的完整性和实用性。

支持的标签

• 建议优先使用主版本标签，当前主版本为 1。
• 同时支持 MAJOR.MINOR、MAJOR.MINOR.PATCH 格式的标签以及 latest 标签。
• 完整的版本列表可在 docker/scout-cli 标签页面 查看。

使用场景和适用范围

主要适用于使用BuildKit构建容器镜像的场景，用于在构建过程中生成并添加SBOM证明（attestation），确保镜像的软件物料清单可追溯、可审计，为容器安全扫描和合规检查提供基础。

使用方法和配置说明

基本使用方式

通常通过 docker buildx build 命令在构建容器镜像时调用，以添加SBOM证明：

sh
$ docker buildx build --attest type=sbom,generator=docker/scout-sbom-indexer .

命令说明

• --attest type=sbom：指定生成SBOM类型的证明。
• generator=docker/scout-sbom-indexer：指定使用Docker Scout SBOM Indexer作为SBOM生成器。
• .：表示构建上下文为当前目录。