Dockerと Snyk が提携して、Docker DesktopとDocker Hubに深く浸透したコンテナセキュリティスキャンを設計したことを本当に嬉しく思います。 画像の脆弱性スキャンは、公開ロードマップで最も要望の多かった項目の1つです。
最新のソフトウェアは多くのサードパーティのオープンソースライブラリを使用していますが、これは、製品の新機能をサポートし、API、プロトコル、アルゴリズムの実装を作成する時間を節約するために作業を再利用できるため、コーディングの生産性を本当に向上させたものの1つです。 ただし、これには、使用しているコードにセキュリティの脆弱性があるかどうかを調べるという欠点が伴います。 スキャンはあなたにとって 最も重要なロードマップの問題の1つである とおっしゃっていました。
CVE 2017-5638によるパッチが適用されていないバージョンのApache Strutsライブラリの使用による有名な巨大なデータ侵害を思い出してください。CVEは2017年3月に発行され、 公式声明によると、パッチは48時間以内に適用されるはずでしたが、適用されず、2017年5月にWebサイトがハッキングされ、攻撃者は7月下旬までアクセスできました。 これは今、みんなの悪夢です。 どうすればこれを支援できますか?
セキュリティ上の問題があるかどうか知っていますか? SnykとDockerとの共同ソリューションは、Docker DesktopとDocker Hubの両方でスキャンを統合するため、開発者はコードの開発中、内部ループ、新しい依存関係の追加中にセキュリティの問題をすばやくチェックでき、イメージが外部ループであるDocker Hubにプッシュされると、チーム全体が脆弱性を確認できます。
Snyk スキャンは通常、検出された脆弱性を修正する更新プログラムの修復情報を提供します。 それは負けゲームなので、常にすべての脆弱性を修正しようとする必要はありません。 脆弱性の流れが続いており、常に新しい脆弱性が追加される可能性があります。
チームの目標は、最もリスクの高い問題をトリアージして、自分に当てはまるかどうかを確認し、優先度の高い問題を修正することです。 Apache Strutsの脆弱性は、このフレームワークを使用する任意のサーバーからリモートでコードが実行されるため、この例です。 これらのタイプの脆弱性は、すぐにエクスプロイトが記述される傾向があり、それらを攻撃しようとするスクリプトが利用可能になります。 その他の脆弱性は、コードが脆弱になるように構成されていない可能性があるため、それほど重大ではない可能性があります。 不明な場合は、早めに更新することをお勧めします。
重大度の低い脆弱性の場合、目的は、ビルド パイプラインで修正プログラムが更新され、更新されない依存関係に脆弱性が永遠に残ることがないようにすることです。 それらは直接悪用できないかもしれませんが、蓄積するにつれて、別の脆弱性や脆弱なコンポーネントの組み合わせからのエスカレーションが可能になり、より大きな脆弱性を生み出す可能性があります。
DockerとSnykの共同スキャン機能を開始するにあたり、お客様のチームがソフトウェアをより良く、より速く、より安全に出荷できるよう支援できることを楽しみにしています。 詳細については、 Snykによるこのブログ投稿 をチェックするか、 今日のプレスリリースをお読みください。
フィードバック
「Snykとのパートナーシップにおける脆弱性の識別を支援する」に関する0の考え