イメージをディストリビューションレスにする理由、ディストリビューションレスイメージの作成を実用化するツール、およびこのアプローチのセキュリティ上の利点について説明します。
ドッカーセキュリティ
SSHキーなしでOpenPubkeyを使用してSSHを行う方法
OpenPubkey SSH(OPK SSH)を使用すると、通常のメールアカウントまたはSSOを使用してログインし、SSHサーバーに安全に接続できます。
セキュリティ アドバイザリ: 深刻度の高い Curl の脆弱性
URLを使用してデータを転送するための人気のあるコマンドラインツールおよびライブラリであるcurlのメンテナは、2023年10月11日にcurl8.4.0をリリースしました。 このバージョンには、2つの一般的な脆弱性と露出(CVE)の修正が含まれており、そのうちの1つは、curlメンテナが「高」の重大度と評価し、「おそらく長い間で最悪のcurlセキュリティ上の欠陥」と説明されています。ただし、Docker Scout を使用して、組織内のいずれかのコンテナー イメージの依存関係として curl ライブラリを使用しているかどうかを確認できます。
セキュリティ アドバイザリ: 重要度の高い OpenSSL の脆弱性
更新:OpenSSLプロジェクトは、CVE-2022-3602とCVE-2022-3786の2つの重大度の高い脆弱性を公式に開示しました。 これらの CVE は、3.0 以降のすべての OpenSSL バージョンに影響します。 唯一の例外はバージョン3.0.7です。 これらの最新の脆弱性に対する修正が含まれています。 以前は、これらのCVEは「重大」であると考えられていました。 詳しくはこちらをご覧ください。
セキュリティ アドバイザリ: CVE-2022-42889 "Text4Shell"
CVE-2022-42889, 別名「Text4Shell」の脆弱性 "Apache Commons Text" Java ライブラリ — および Docker セキュリティ スキャンがそれを識別する方法.
Apache Log4j 2 CVE-2021-44228
更新日:2021年12月13日 CVE-2021-44228の更新として、バージョン2.15.0で行われた修正は、特定のデフォルト以外の構成では不完全でした。 追加の問題が特定され、CVE-2021-45046で追跡されています。 この脆弱性をより完全に修正するには、...
Docker と Snyk がパートナーシップを Docker の公式イメージと認定イメージに拡大
本日、DockerとSnykが既存のパートナーシップを拡張し、Dockerの公式イメージと認定イメージに脆弱性スキャンを提供したことを発表できることを嬉しく思います。 これら2つの画像カテゴリの独占的なスキャンパートナーとして、SnykはDockerと協力して...
Docker at SnykCon 2020
今週2020年10月21〜22日に開催されるSnykからの無料オンラインイベントである最初のSnykCon仮想会議のゴールドスポンサーになることに興奮しています。 この会議では、開発チームとセキュリティチームを統合するためのベストプラクティスとテクノロジーについて説明します,...
自動脆弱性スキャンによるハブコンテナイメージのセキュリティの向上
エンドツーエンドの Docker 開発者エクスペリエンスの改善に関する昨日のブログで、セキュリティをイメージ開発に統合している方法を共有し、ハブにプッシュされたイメージの脆弱性スキャンの開始を発表できることに興奮しました。 このリリースは1つです...