ニュース
エクセルソフト、安全なソフトサプライチェーンを実現する「Docker Scout」
2023/10/23 15:28
コンテナイメージは多くの場合、ほかのコンテナイメージやソフトウェアパッケージのレイヤーから構築されている。これらのレイヤーやパッケージには、コンテナとコンテナで実行されるアプリケーションが攻撃に対して脆弱になる、脆弱性が含まれている可能性がある。
Docker Scoutは、これらの脆弱性をいち早く発見、修正することを支援し、より安全なソフトウェアサプライチェーンを構築できるようにする。具体的には、イメージを分析し、ソフトウェア部品表(SBOM)と呼ばれるパッケージとレイヤーの完全なインベントリを作成。そして、このインベントリを継続的に更新される脆弱性データベースと関連付けて、イメージ内の脆弱性を特定する。
同製品は、Docker Desktop、Docker Hub、Docker CLI、Docker Scout Dashboardで使用することができる。イメージをJFrog Artifactoryでホストしている場合は、Docker Scoutを使ってイメージを分析することも可能。そのほかにも、Sysdig、AWS ECR、BastionZero、GitHub、GitLab、CircleCI、Jenkinsなどのサードパーティーシステムとの統合が可能となっている。
Docker Scout Dashboardは、組織内のイメージの分析をチームで共有するのに役立つ。開発者は、Docker HubとArtifactoryの両方から、すべてのイメージにわたるセキュリティステータスの概要を確認し、簡単に修復の推奨事項を得ることができる。セキュリティ、コンプライアンス、運用などの役割のメンバーが、どのような脆弱性や問題に注力すべきかを知るのに活用できる。
Image Detail ViewにDocker Scoutの分析の内訳が表示される。Docker Desktop内やDocker Hubのイメージタグページからアクセスし、イメージ階層(ベースイメージ)、イメージレイヤー、パッケージ、脆弱性の内訳を確認できる。また、Image Detail Viewでは、イメージの構成をさまざまな角度から検査できる。このビューには、イメージに含まれる脆弱性とパッケージが表示される。イメージ全体のデータを表示するか、特定のベースイメージやレイヤーのデータを表示するかを選択できる。
Docker Desktopでは、まずローカルでイメージを分析し、ソフトウェア部品表(SBOM)を生成する。Docker Desktop、Docker Hub、Docker ScoutのダッシュボードとCLIはすべて、このSBOMのパッケージURL(PURL)リンクを使用して、Docker Scoutのアドバイザリデータベースで一致するCV(Common Vulnerabilities and Exposures)をクエリする。
Docker Scoutは、Docker Desktopのローカルに保存されたすべてのイメージを分析し、イメージをビルドする際に最新の脆弱性情報を提供する。Docker Scoutでローカルイメージを分析するには、Docker DesktopまたはDocker CLIのdocker scout quickviewコマンドとdocker scout cvesコマンドを使用する。
- 1
関連記事
エクセルソフト、.NETアプリ開発コンポーネントの新バージョン
エクセルソフト、DPC++言語向け実装と最適化入門トレーニングの申込の受付開始
エクセルソフト、「iSUS」で大谷選手の限定グッズが当たるキャンペーン
外部リンク
エクセルソフト=https://www.xlsoft.com/jp
「Docker Scout」=https://www.xlsoft.com/jp/products/docker/scout.html