要約: Aikido がDocker Hardened Imagesに対応しました。以前は数百件のCVEが検出されていたスキャン結果も、DockerのVEXアテステーションによって「悪用不可能」と検証されたものがすべて除外されるため、実際に適用されるものはごくわずかになります。追加の設定は一切不要です。
コンテナのセキュリティノイズ がある
コンテナイメージをスキャンすると、50件、100件、時には数百件ものCVEのリストが返ってきます。その中からいくつかを開いてみると、恐ろしいものもありますが、そのほとんどは関係のないものです。中にはイメージのメンテナンス担当者がすでに修正済みのものや、自分の環境では実際にはアクセスすることのないイメージの一部にあるものもあります。しかし、ツールはそうした事情を一切知りません。ただすべてにフラグを立て、問題をあなたに押し付けるだけです。
結局、午後はリリース作業ではなく、アラートの優先順位付けに追われることになる。どのアラートが本当に重要なのかを見極めようとする。リスクが低いと思われるものは閉じ、「後で」対処するつもりのものはスヌーズする。そして翌週、また同じことが繰り返される。
これはセキュリティ上の問題ではありません。ノイズ なのです。そして、これが開発者がセキュリティツールを完全に信用しなくなる主な理由の一つです。あらゆるものが警告対象となると、どれ一つとして緊急性を感じられなくなります。それは非常に危険な状況です。
Docker Hardened Imagesとは
Docker Hardened Imagesは特定の用途に合わせて構築されており、多くの場合ディストリビューションに依存せず、ワークロードに必要なソフトウェアのみが同梱されています。その構造上、攻撃対象領域が小さく、多くの場合、アップストリームよりも迅速にパッチが適用されます。また、これらのイメージには、ほとんどのベースイメージにはない「VEXアテステーション」が付属しています。
VEXは脆弱性 eXchange)」の略称です。これは、イメージのメンテナンス担当者が、特定のイメージにおいてどのCVEが実際には悪用不可能であるか、そしてその理由を伝えるための標準的な方法です。そのビルドに脆弱性のあるコンポーネントが含まれていない場合や、危険を招くようなコードパスがそのコンテキストに存在しない場合などが考えられます。Dockerは分析を行い、自社がメンテナンスするすべての強化済みイメージについてその結果を公開しています。
彼らはイメージをスキャンし、パッケージ内のCVEを見つけると、それがどうであれフラグを立てます。そのため、より安全なイメージを採用して最初のスキャンを実行すると、アラート一覧が赤く染まってしまいます。以前よりも多くのアラートが表示されるのです。実際には全く逆であるにもかかわらず、事態を悪化させてしまったかのように見えてしまいます。
方法 Aikido はそれをどう扱うか
いつ Aikido は、レジストリ内でDocker Hardened Imageを検出すると、そのイメージと共にSBOM 署名SBOM を取得して、実際に何が含まれているかを正確に把握します。その後、DockerのVEXアテステーションと照合し、実際に悪用可能な箇所を特定します。脆弱性 「修正済み」「影響なし」、またはトリアージを必要としないとマーク脆弱性 、フィードに反映される前にすべて除外されます。
.png)
非表示にされた脆弱性は、単に消えてしまうわけではありません。「無視」タブに表示されるため、検出された内容と除外された内容を常に把握することができます。
いずれかをクリックすると Aikido がそのタブ内で、完全な根拠とDocker独自の検証結果を表示します。
%20(1).png)
.png)
セキュリティおよびコンプライアンス担当チームにとって、これは、監査人から「なぜCVEに対処していないのか」と問われた際に、文書化され、検証可能な根拠を示せることを意味します。
セットアップは一切不要。本当に。
特別な設定は必要ありません。Docker Hubレジストリを接続し、セキュリティ対策済みのイメージをスキャンして、 Aikido が残りの処理をバックグラウンドで自動的に行います。もしすでに AikidoでDocker Hubに接続済みであれば、すでに機能しています。
まだ接続していない場合は、約2分で完了します。「設定」>「コンテナ」に移動し、「レジストリに接続」をクリックして、「Docker Hub」を選択し、ネームスペースと読み取り専用アクセストークンを入力してください。これで完了です。 Aikido がリポジトリを自動的に検出し、実行中のDocker Hardened Imageは、スキャンごとに自動的にVEXによる完全な分析を受けます。
開発者に寄り添うセキュリティ
アラート疲れ 現実アラート疲れ 。セキュリティツールがスキャンするたびに「狼が来たぞ」と警告し続けると、やがてその警告を無視するようになります。そして、警告を無視するようになると、真の問題が見逃されてしまうのです。
Docker Hub レジストリを接続して、本当に重要な情報だけが表示された場合のフィードがどのように見えるかを確認してください。
Docker Hardened Images の利用を開始するにはこちら →aikido
