最近、 Mend.io とDockerの統合を発表しました。 Hardened Images(DHI)は 、コンテナセキュリティ管理のためのシームレスなフレームワークを提供します。ベースイメージの脆弱性とアプリケーション層のリスクを自動的に区別することで、VEX文を使って悪用可能な脆弱性と非悪用的な脆弱性を区別し、チームが本当に重要なことを優先できるようにします。
要約:DR:開発者の価値提案
この統合の特徴は ゼロ構成構成です。
- 自動検出: Mend.io はスキャン時にDHIベースの画像を自動的に識別します。開発者は手動でタグ付けや設定を必要としません。
- 視覚的な指標: Mend UI内では、DHI保護パッケージに専用の Dockerアイコン と情報提供ツールチップが付けられており、どのコンポーネントがDockerの強化された基盤で管理されているかを即座に透明化できます。
透明層: ユーザーはパッケージ、レイヤー、リスクファクターごとに調査結果を確認でき、ベースOSからカスタムアプリケーションバイナリまでの明確な監査記録を確保します。
動的リスクトリアージ:VEX + リーチアビリティ
標準的なスキャナーは、ファイルシステム内に存在するが実行されない数千の脆弱性を検出します。この統合ではノイズをフィルタリングするために2つの知能層を用います。
- リスクファクター統合: Mend.io はDockerの VEX(脆弱性悪用性eXchange) データを「リスクファクター」識別の主要な情報源として組み込んでいます。
- 「影響なし」フィルター: DockerのVEXデータでCVEがnot_affectedとマークされたり、Mendの解析で 到達不可 と判断された場合、その場合は優先度が下がります。
バルク抑制: 開発者は機能しないリスクを一括で抑制でき、ワンクリックで数千の非悪用性脆弱性を除去できる可能性もあります。これにより、チームはカスタムレイヤー内の到達可能で悪用可能なリスクの 1%に集中できます。
ワークフローによるセキュリティの運用化
Mend.io は、組織が単なるスキャンを超えて 自動化されたガバナンスへと移行できるようにします。
- SLAと違反管理: 脆弱性の重大度に基づいて自動的に違反をトリガーし、修復期限(SLA)を設定します。
- カスタムアラート: 新しいDHIが環境に追加された際に、メールやJira経由で即時通知を受け取るワークフローを設定しましょう。
パイプラインゲーティング: Mendのワークフローエンジンを使って、カスタムコードで高リスクで到達可能な脆弱性が導入された場合のみビルドを失敗させ、CI/CDパイプラインを継続してください。
継続的パッチ適用とAI支援による移行
- 自動同期: エンタープライズDHIユーザーの場合、パッチを当てたベースイメージは自動的にDocker Hubのプライベートリポジトリにミラーされます。Mend.io これらの更新を確認し、手動プルリクエストなしで基本レベルのリスクが軽減されたことを確認します。
- ゴードンに聞く: DockerのAIエージェントを活用して既存のDockerファイルを分析し、最適なDHI基盤を提案することで、レガシーアプリケーションを安全な環境に移行する際の摩擦を軽減しましょう。
Mend.io とDockerの統合により、セキュリティ宣言の監査可能なトレイルを提供し、コンプライアンスが標準開発ワークフローの副産物として機能するようにし、独立した手動作業ではなく実現します。
さらに詳しく
統合およびDockerのVEX文については以下のリンクで詳しくご覧ください:
- Docker Hardened Imagesのドキュメントを確認してください: https://docs.docker.com/dhi/
- 無料のDocker Hardened Imageトライアルを始めましょう: https://hub.docker.com/hardened-images/start-free-trial
MendのVEXの利点に関する見解をお読みください: https://www.mend.io/blog/benefits-of-vex-for-sboms/
