安全

Docker セキュリティアドバイザリ: runc、BuildKit、Moby の複数の脆弱性

runc、BuildKit、Moby の複数の脆弱性に関する Docker セキュリティアドバイザリ: これらの脆弱性に対処するために、runc、BuildKit、Moby のパッチ適用済みバージョンを 1 月 31 日に公開し、2 月 1 日に Docker Desktop のアップデートをリリースします。 さらに、最新のMobyとBuildKitのリリースには、独立した研究者とDockerの内部調査イニシアチブによってそれぞれ発見されたCVE-2024-23650 とCVE-2024-24557の修正が含まれます。

GitHub ActionsワークロードでOpenPubkeyを使用する方法

OpenPubkey を使用して、GitHub Actions と Docker を使用して公開キーをワークロード ID にバインドする方法を学習します。 また、Docker が GitHub Actions で OpenPubkey を使用して Docker 公式イメージに署名し、サプライ チェーンのセキュリティを向上させる方法もご覧ください。 

Google Cloud の Docker Hub で認証済みログインを使用する

Google Cloud の Docker Hub を使用して、安全で信頼性の高いソフトウェア配信プロセスを維持するためにチームが実装できる 4 つのベスト プラクティスについて説明します。 これらのガイドラインにより、開発ワークフローを保護しながら、オープンソースソフトウェアの利点を活用できます。

セキュリティ アドバイザリ: 深刻度の高い Curl の脆弱性

URLを使用してデータを転送するための人気のあるコマンドラインツールおよびライブラリであるcurlのメンテナは、2023年10月11日にcurl8.4.0をリリースしました。 このバージョンには、2つの一般的な脆弱性と露出(CVE)の修正が含まれており、そのうちの1つは、curlメンテナが「高」の重大度と評価し、「おそらく長い間で最悪のcurlセキュリティ上の欠陥」と説明されています。ただし、Docker Scout を使用して、組織内のいずれかのコンテナー イメージの依存関係として curl ライブラリを使用しているかどうかを確認できます。