エクセルソフト、安全なソフトサプライチェーンを実現する「Docker Scout」

記事の画像

　エクセルソフトは、Dockerを使用するソフトウェア開発者の開発環境（インナーループ、デスクトップ環境）のコンテナイメージのリアルタイム検証、脆弱性チェックから本番環境（アウターループ、クラウド環境）へのスムーズなデプロイと運用までを支援し、これらすべてのステップを可視化して、シームレスにセキュアなソフトウェアサプライチェーンの構築を実現する「Docker Scout」の販売を10月20日から開始した。

　コンテナイメージは多くの場合、ほかのコンテナイメージやソフトウェアパッケージのレイヤーから構築されている。これらのレイヤーやパッケージには、コンテナとコンテナで実行されるアプリケーションが攻撃に対して脆弱になる、脆弱性が含まれている可能性がある。

　Docker Scoutは、これらの脆弱性をいち早く発見、修正することを支援し、より安全なソフトウェアサプライチェーンを構築できるようにする。具体的には、イメージを分析し、ソフトウェア部品表（SBOM）と呼ばれるパッケージとレイヤーの完全なインベントリを作成。そして、このインベントリを継続的に更新される脆弱性データベースと関連付けて、イメージ内の脆弱性を特定する。

　同製品は、Docker Desktop、Docker Hub、Docker CLI、Docker Scout Dashboardで使用することができる。イメージをJFrog Artifactoryでホストしている場合は、Docker Scoutを使ってイメージを分析することも可能。そのほかにも、Sysdig、AWS ECR、BastionZero、GitHub、GitLab、CircleCI、Jenkinsなどのサードパーティーシステムとの統合が可能となっている。

　Docker Scout Dashboardは、組織内のイメージの分析をチームで共有するのに役立つ。開発者は、Docker HubとArtifactoryの両方から、すべてのイメージにわたるセキュリティステータスの概要を確認し、簡単に修復の推奨事項を得ることができる。セキュリティ、コンプライアンス、運用などの役割のメンバーが、どのような脆弱性や問題に注力すべきかを知るのに活用できる。

　Image Detail ViewにDocker Scoutの分析の内訳が表示される。Docker Desktop内やDocker Hubのイメージタグページからアクセスし、イメージ階層（ベースイメージ）、イメージレイヤー、パッケージ、脆弱性の内訳を確認できる。また、Image Detail Viewでは、イメージの構成をさまざまな角度から検査できる。このビューには、イメージに含まれる脆弱性とパッケージが表示される。イメージ全体のデータを表示するか、特定のベースイメージやレイヤーのデータを表示するかを選択できる。

　Docker Desktopでは、まずローカルでイメージを分析し、ソフトウェア部品表（SBOM）を生成する。Docker Desktop、Docker Hub、Docker ScoutのダッシュボードとCLIはすべて、このSBOMのパッケージURL（PURL）リンクを使用して、Docker Scoutのアドバイザリデータベースで一致するCV（Common Vulnerabilities and Exposures）をクエリする。

　Docker Scoutは、Docker Desktopのローカルに保存されたすべてのイメージを分析し、イメージをビルドする際に最新の脆弱性情報を提供する。Docker Scoutでローカルイメージを分析するには、Docker DesktopまたはDocker CLIのdocker scout quickviewコマンドとdocker scout cvesコマンドを使用する。