エクセルソフトは、Dockerを使用するソフトウェア開発者の開発環境(インナーループ、デスクトップ環境)のコンテナイメージのリアルタイム検証、脆弱性チェックから本番環境(アウターループ、クラウド環境)へのスムーズなデプロイと運用までを支援し、これらすべてのステップを可視化して、シームレスにセキュアなソフトウェアサプライチェーンの構築を実現する「Docker Scout」の販売を10月20日から開始した。
コンテナイメージは多くの場合、ほかのコンテナイメージやソフトウェアパッケージのレイヤーから構築されている。これらのレイヤーやパッケージには、コンテナとコンテナで実行されるアプリケーションが攻撃に対して脆弱になる、脆弱性が含まれている可能性がある。
Docker Scoutは、これらの脆弱性をいち早く発見、修正することを支援し、より安全なソフトウェアサプライチェーンを構築できるようにする。具体的には、イメージを分析し、ソフトウェア部品表(SBOM)と呼ばれるパッケージとレイヤーの完全なインベントリを作成。そして、このインベントリを継続的に更新される脆弱性データベースと関連付けて、イメージ内の脆弱性を特定する。
同製品は、Docker Desktop、Docker Hub、Docker CLI、Docker Scout Dashboardで使用することができる。イメージをJFrog Artifactoryでホストしている場合は、Docker Scoutを使ってイメージを分析することも可能。そのほかにも、Sysdig、AWS ECR、BastionZero、GitHub、GitLab、CircleCI、Jenkinsなどのサードパーティーシステムとの統合が可能となっている。
Docker Scout Dashboardは、組織内のイメージの分析をチームで共有するのに役立つ。開発者は、Docker HubとArtifactoryの両方から、すべてのイメージにわたるセキュリティステータスの概要を確認し、簡単に修復の推奨事項を得ることができる。セキュリティ、コンプライアンス、運用などの役割のメンバーが、どのような脆弱性や問題に注力すべきかを知るのに活用できる。
Image Detail ViewにDocker Scoutの分析の内訳が表示される。Docker Desktop内やDocker Hubのイメージタグページからアクセスし、イメージ階層(ベースイメージ)、イメージレイヤー、パッケージ、脆弱性の内訳を確認できる。また、Image Detail Viewでは、イメージの構成をさまざまな角度から検査できる。このビューには、イメージに含まれる脆弱性とパッケージが表示される。イメージ全体のデータを表示するか、特定のベースイメージやレイヤーのデータを表示するかを選択できる。
Docker Desktopでは、まずローカルでイメージを分析し、ソフトウェア部品表(SBOM)を生成する。Docker Desktop、Docker Hub、Docker ScoutのダッシュボードとCLIはすべて、このSBOMのパッケージURL(PURL)リンクを使用して、Docker Scoutのアドバイザリデータベースで一致するCV(Common Vulnerabilities and Exposures)をクエリする。
Docker Scoutは、Docker Desktopのローカルに保存されたすべてのイメージを分析し、イメージをビルドする際に最新の脆弱性情報を提供する。Docker Scoutでローカルイメージを分析するには、Docker DesktopまたはDocker CLIのdocker scout quickviewコマンドとdocker scout cvesコマンドを使用する。
コンテナイメージは多くの場合、ほかのコンテナイメージやソフトウェアパッケージのレイヤーから構築されている。これらのレイヤーやパッケージには、コンテナとコンテナで実行されるアプリケーションが攻撃に対して脆弱になる、脆弱性が含まれている可能性がある。
Docker Scoutは、これらの脆弱性をいち早く発見、修正することを支援し、より安全なソフトウェアサプライチェーンを構築できるようにする。具体的には、イメージを分析し、ソフトウェア部品表(SBOM)と呼ばれるパッケージとレイヤーの完全なインベントリを作成。そして、このインベントリを継続的に更新される脆弱性データベースと関連付けて、イメージ内の脆弱性を特定する。
同製品は、Docker Desktop、Docker Hub、Docker CLI、Docker Scout Dashboardで使用することができる。イメージをJFrog Artifactoryでホストしている場合は、Docker Scoutを使ってイメージを分析することも可能。そのほかにも、Sysdig、AWS ECR、BastionZero、GitHub、GitLab、CircleCI、Jenkinsなどのサードパーティーシステムとの統合が可能となっている。
Docker Scout Dashboardは、組織内のイメージの分析をチームで共有するのに役立つ。開発者は、Docker HubとArtifactoryの両方から、すべてのイメージにわたるセキュリティステータスの概要を確認し、簡単に修復の推奨事項を得ることができる。セキュリティ、コンプライアンス、運用などの役割のメンバーが、どのような脆弱性や問題に注力すべきかを知るのに活用できる。
Image Detail ViewにDocker Scoutの分析の内訳が表示される。Docker Desktop内やDocker Hubのイメージタグページからアクセスし、イメージ階層(ベースイメージ)、イメージレイヤー、パッケージ、脆弱性の内訳を確認できる。また、Image Detail Viewでは、イメージの構成をさまざまな角度から検査できる。このビューには、イメージに含まれる脆弱性とパッケージが表示される。イメージ全体のデータを表示するか、特定のベースイメージやレイヤーのデータを表示するかを選択できる。
Docker Desktopでは、まずローカルでイメージを分析し、ソフトウェア部品表(SBOM)を生成する。Docker Desktop、Docker Hub、Docker ScoutのダッシュボードとCLIはすべて、このSBOMのパッケージURL(PURL)リンクを使用して、Docker Scoutのアドバイザリデータベースで一致するCV(Common Vulnerabilities and Exposures)をクエリする。
Docker Scoutは、Docker Desktopのローカルに保存されたすべてのイメージを分析し、イメージをビルドする際に最新の脆弱性情報を提供する。Docker Scoutでローカルイメージを分析するには、Docker DesktopまたはDocker CLIのdocker scout quickviewコマンドとdocker scout cvesコマンドを使用する。