EOL包扫描器镜像文档

概述

该Docker镜像是一个轻量级的EOL（End-of-Life，生命周期结束）包扫描工具，旨在检测软件包是否已达到生命周期结束状态。通过扫描容器镜像、本地系统或SBOM（软件物料清单）文件，该工具能够识别过时组件，帮助用户及时发现潜在的安全风险、兼容性问题及合规性隐患。

核心功能与特性

多对象扫描支持

• 容器镜像扫描：直接扫描本地或远程容器镜像，识别镜像内已EOL的软件包
• 系统扫描：支持扫描主机系统（需挂载主机文件系统）中的软件包EOL状态
• SBOM扫描：兼容主流SBOM格式（如SPDX、CycloneDX），解析并检测其中组件的EOL状态

EOL检测能力

• 实时或定期更新EOL数据库，确保检测结果准确性
• 支持多种编程语言及系统包管理器（如Debian、RPM、Python、Node.js等）的EOL规则匹配
• 提供详细的EOL日期、替代方案及风险等级评估

报告与输出

• 支持多种输出格式：JSON、HTML、文本报告
• 可配置报告级别（简要/详细），包含包名、版本、当前状态、EOL日期等关键信息
• 支持结果导出至文件或标准输出

使用场景与适用范围

适用场景

• 容器安全检测：在CI/CD流程中集成，扫描构建的容器镜像是否包含EOL组件
• 系统维护：定期扫描服务器或工作站系统，评估软件包更新需求
• SBOM合规审计：验证供应链软件物料清单中的组件是否符合安全生命周期要求
• 漏洞管理：作为漏洞扫描的补充工具，识别因EOL导致的潜在未修复漏洞

适用人群

• 开发团队：在应用构建阶段检测依赖组件状态
• 运维团队：评估生产环境中运行组件的生命周期状态
• 安全团队：识别因使用EOL软件导致的安全风险

使用方法

基本使用（Docker Run）

1. 扫描容器镜像

docker run --rm \
  -v /var/run/docker.sock:/var/run/docker.sock \  # 挂载Docker守护进程 socket（本地镜像扫描需此配置）
  eol-scanner:latest \
  scan-image --image <镜像名称:标签> --output json > eol-report.json

2. 扫描SBOM文件

docker run --rm \
  -v $(pwd):/data \  # 挂载本地目录，用于读取SBOM文件
  eol-scanner:latest \
  scan-sbom --file /data/sbom.spdx.json --format spdx --output html > eol-sbom-report.html

3. 扫描本地系统（需特权模式，谨慎使用）

docker run --rm --privileged \
  -v /:/host \  # 挂载主机根目录
  eol-scanner:latest \
  scan-system --root /host --package-manager deb --output text

配置参数说明

环境变量配置

注意事项

• 扫描容器镜像时，若镜像存储在私有仓库，需确保容器内已配置仓库认证（可通过挂载~/.docker/config.json实现）
• 扫描本地系统需使用--privileged模式，可能存在安全风险，建议仅在受控环境中使用
• EOL数据库默认每日更新，如需手动更新可执行命令：docker run --rm eol-scanner:latest update-db