Docker は、おそらく他のプラットフォームにも組み込むことができるアイデアを思いつきました。それは、展開前にソフトウェア コンポーネントをスキャンして、公開されている既知の脆弱性を検出するというものです。
本日、ソフトウェアコンテナ業界はDocker Security Scanningを発表します。これは、Docker Cloud内のプライベートリポジトリを精査し、既知のセキュリティバグを発見した場合に開発者に警告する機能です。この機能は、今年後半にDocker Datacenterの顧客にも拡張される予定です。
具体的には、このオプトイン サービスは、Docker イメージが Docker クラウドにプッシュされたときにそのイメージをスキャンし、イメージのソフトウェア コンポーネントの部品表 (BOM) をプログラムで構築します。
次に、BOMを一連のセキュリティ脆弱性データベース(米国政府が支援する国家脆弱性データベース(NVD)を含む)に照合します。イメージ内のライブラリやその他の依存関係に、悪用可能なプログラミング上の欠陥が含まれていることが判明した場合、警告が発せられ、開発者が介入して問題を修正できます。うまくいけば、修正されたバージョンを選択してイメージに含めることができます。
現在、Docker Security Scanningは、オペレーティングシステムのコンポーネント、アプリケーションレベルのライブラリ、プログラミング言語のモジュールなどを調査しています。開発者自身のコードにバグを見つけることはできませんが、パッチ適用済みのバージョンが存在する場合、安全でない依存関係のプルを阻止できます。
Docker のセキュリティ担当ディレクター、ネイサン・マコーリー氏はThe Registerに対し、たとえ重要または極めて重要なセキュリティパッチであっても、アプリケーションの依存関係を更新するために、通常は変更プロセスの煩雑さを乗り越えなければならない大規模な組織でも、すべての Docker ユーザーにとってパッチ適用を可能な限り簡単にしたいと語った。
脆弱性スキャナーを有効にすると、既知の脆弱なコードが展開前にブロックされ、後々のトラブルを最小限に抑えられることが期待されます。これは実際には他のプラットフォームにも応用できる、悪くないアイデアです。例えば、 GNU/Linux Debianマシンでapt-get installを実行してパッケージを導入すると、リアルタイムのオンデマンド検索によって、そのパッケージまたはその依存関係のいずれかに、公開されている脆弱性データベースに既知のバグがあるという警告やアラートが表示される、といった状況は想像に難くありません。
「Dockerエコシステム全体に、ユーザーの安全を確保するためのツールを導入したい」とマコーリー氏は語った。
安全なソフトウェアサプライチェーンにおいて最も重要なことの一つは、パッチ適用を徹底することです。組織によっては、アップデートは困難なプロセスです。Dockerにはこのプロセスを改善するチャンスがあると感じました。Dockerは、状況を劇的に改善できる可能性を秘めており、取り組む価値があると感じました。
開発者がレジストリにプッシュした署名済みイメージをスキャンするというアイデアです。バグスキャンに合格すれば、IT運用担当者はイメージをコンテナとして本番システムにデプロイできます。
この技術は以前はProject Nautilusとして知られており、11月にスペインで開催されたDockerCon Europeイベントでその概要が発表されました。Dockerは火曜日の声明で次のように説明しています。
Dockerセキュリティスキャンは、プライベートリポジトリプランをご利用のDocker Cloudユーザーに本日より提供開始されており、2016年第3四半期末までにすべてのDocker Cloudリポジトリユーザーに拡大されます。プライベートリポジトリプランのアドオンサービスとして、価格はリポジトリあたり2ドルからとなります。Dockerセキュリティスキャンは、2016年後半にDocker Datacenterの統合機能としても提供される予定です。
サービスの詳細については、こちらの公式ブログ投稿をご覧ください。®
