Docker Scout GAの発表:ソフトウェアサプライチェーンのための実用的な洞察

Docker Scout 一般提供 (GA) により、開発者は、ソフトウェア サプライ チェーンのベスト プラクティスに沿って、すぐに使用できる一連のポリシーに対してコンテナー イメージを継続的に評価できるようになりました。これらの新機能には、開発から本番環境までの可視性を実現する統合の完全なスイートも含まれています。 これらの更新により、ソフトウェアサプライチェーンに不可欠なDocker Scoutの地位が強化されます。 

バナー ドッカー スカウトの一般提供

最新のクラウドネイティブ アプリケーションを構築する開発者向けに、Docker Scout は実用的な分析情報をリアルタイムで提供し、ソフトウェア サプライ チェーンをエンドツーエンドで簡単に保護および管理できるようにします。 Docker Scoutは、開発者が毎日使用するDockerツールで開発者と会い、 ソフトウェアサプライチェーン全体でオープンソースの信頼できるコンテンツ、ポリシー評価、自動修復の最も豊富なライブラリをリアルタイムで提供します。 最初のベース イメージから git コミット、CI パイプライン、本番環境にデプロイされたワークロードまで、Docker Scout は、開発者が簡単に行動できる分析情報の手段として、その大規模なオープン エコシステムとコンテナー ランタイムを活用します。

Docker Scoutがソフトウェアサプライチェーンの記録システムとして機能することで、開発者は、Docker Desktop、Docker CLI、Docker Hub、およびDocker製品の完全なスイートと連携して、リアルタイムの洞察、アプリケーションの異常の特定およびアプリケーションの整合性を向上させるための自動化された推奨事項にアクセスできます。 Docker Scoutは、全体像を把握し、ソフトウェアサプライチェーンに階層化されている課題に対処するように設計されています。

ソフトウェアサプライチェーン

お客様との多くの詳細な会話を通じて、開発者は、信頼できないコンテンツや許可されていないコンテンツを組織のポリシーの範囲内で使用しないことをますます認識しているという明確な傾向を明らかにしました。 これを解決するために、Docker は、Docker Hub でホストされている厳選された Docker リポジトリのセットである Docker 公式イメージを提供しています。 これらのイメージは、ほとんどのユーザーの出発点として機能する重要な基本リポジトリを提供します。 Docker と Docker Scout は、今後数か月以内に Docker 公式イメージ カタログに追加の形式のソフトウェア サプライ チェーン メタデータを提供し続けます。

信頼できるコンテンツは、安全なソフトウェア アプリケーションの基盤です。 この基盤の重要な側面は、Docker 公式イメージ、Docker 検証済み発行元、Docker が 後援するオープンソース の信頼できるコンテンツを含む、セキュリティで保護されたソフトウェア アーティファクトの最大かつ最も使用されているソースである Docker Hub です。 Docker Scout ポリシーは、このメタデータを活用してイメージのライフ サイクルを追跡し、開発者向けの独自の分析情報を生成し、内部ループから運用環境まで、ソフトウェア サプライ チェーンの目標の強化を自動化するのに役立ちます。

アプリケーションの信頼性を確保するには、JSON ファイルとの依存関係の選択、コンパイルの実行、関連するテストの実行から、ビルドされたすべてのイメージの安全性の確保まで、常に警戒し、ソフトウェア設計に関する詳細な考慮事項が必要です。 一部の監視プラットフォームは、現在運用環境で実行されているコンテナー イメージのポリシーのみに焦点を当てていますが、新しい Docker Scout GA リリースでは、このアプローチは開発プロセスの後半に発生するため、ソフトウェア サプライ チェーン全体を監視するには不十分であると認識されています。

Docker Scoutは、開発者が現在構築および監視している場所で役立つ実用的な洞察と提案されたワークフローのシームレスなセットを提供します。 これらのインサイトとワークフローは、Docker Trusted Content (Docker Official Images、Docker-Sponsored Open Source、Docker Verified Publishers) に基づいて Docker コンテナイメージを構築する開発者や、JFrog Artifactory、Amazon ECR、Sysdig Runtime Monitoring、GitHub Actions、GitLab、CircleCI との統合から得られるデータなど、それ以外にも多くのデータソースにとって特に役立ちます(図 1)。

Docker は、Docker ハブでホストされている厳選された Docker リポジトリのセットである docker 公式イメージを提供します。 これらのイメージは、ほとんどのユーザーの出発点として機能する重要な基本リポジトリを提供します。
図 1: Docker Scout を既に使用しているツールと統合します。

ポリシー評価

現在のポリシー ソリューションは、ポリシー分析の過度に単純化された結果に基づいてアーティファクトが許可または拒否されるバイナリ結果のみをサポートしています。 この合格/不合格のアプローチとそれに対応するゲートキーピングは、多くの場合、厳格すぎて、微妙な状況や中間状態を考慮していないため、従来のポリシー適用の実装に関する日々の摩擦につながります。 Docker Scoutは、ポリシーからのより微妙な逸脱を示すだけでなく、ポリシーガイドライン内に戻すためのアップグレードと修復のパスを積極的に提案することで、その過程でMTTRを短縮することで、より深く掘り下げるようになりました。

さらに、Docker Scout ポリシーにより、依存関係をアップグレードする必要があるかどうかを知るために CI/CD が完了するのを待つ必要がないため、生産性が向上します。 Docker Scout を使用してポリシーを評価することで、チームがポリシー評価ソリューションを採用しない傾向がある主な理由の 1 つである、リリース日に影響を与える可能性のある CI/CD の土壇場でのセキュリティ ブロッカーを防ぐことができます。

ポリシーには、コンポーネントまたはライブラリを安全にプルできるリポジトリまたはソースの指定、セキュリティで保護された検証済みのビルド プロセスの要求、デプロイ後の問題の継続的な監視など、さまざまな形式があります。 Docker Scoutは、これらのより広範な定義セット内で実装できるポリシーの種類を拡張する機能を備えています(図2と3)。

Docker scout ga f2
図 2: ポリシー違反と修正を示す Docker Scout ダッシュボード。
Docker scout ga f3
図 3: 時間の経過に伴うすべての Docker 対応リポジトリのイメージのセキュリティ状態の概要。

最大カバレッジのポリシー

ポリシーに対する私たちのビジョンは、開発者がニーズと環境に対して最も開発者にとって使いやすく安全なものを定義できるようにすることです。 一部の業界には共通のスレッドがありますが、すべての企業には微妙な違いがあります。 セキュリティポリシーを設定する場合でも、ソフトウェア開発ライフサイクルツールのベストプラクティスに合わせる場合でも、Docker Scoutの目標は、コンテナイメージを継続的に評価し、チームがクラウドインフラストラクチャ内のセキュリティ体制を段階的に改善するのを支援することです。

これらの新機能には、最新の基本イメージを維持し、関連する脆弱性を追跡し、関連する範囲内ライセンスを監視するための組み込みのすぐに使用できるポリシーが含まれています。 評価結果を通じて、ユーザーは各イメージのポリシーの状態を確認できます。 ユーザーはポリシー結果の集計ビューを使用できるため、何に焦点を当てるべきかがわかり、それらの結果をより詳細に評価して、リポジトリ リスト ビューの特定のポリシー セット内で何が変更されたかを把握できます (図 4)。

ポリシーの状態: 失敗 (3/4 ポリシー違反)
図 4: CLI からの表示。

次は何ですか?

Docker Scoutは、コードの信頼性を向上させてポリシーに合わせるために取るべきアクションを開発者が理解できるようにすることから、最適なコードパフォーマンスを確保することまで、開発者のワークフローを改善するすべてのステップでお客様と一緒になるように設計されています。

次のフェーズに向けて、私たちはお客様に より多くの価値 を提供し、 Docker Scout Design Partner Programを通じて常にフィードバックを歓迎します。 今のところ、Docker Scoutチームは、最新のソリューションをお客様の手に渡し、ソフトウェアサプライチェーン内の急速に進化するエコシステムで安全性、効率、品質を確保できることに興奮しています。

Docker が後援するオープンソース(DSOS) プログラムの開発者は、無制限のローカル画像分析に加えて、リモート画像、SDLC統合、セキュリティ体制レポート、ポリシー評価のための最大100のリポジトリを含む Docker Scout Teamプランにまもなくアクセスできるようになります。 2023年後半にDSOSプログラムでDocker Scoutが有効になると、DSOSメンバーはDSOS承認の名前空間内の最大100のリポジトリで有効にできます。

Docker Scout の詳細については、 Docker Scout の製品ページをご覧ください。

さらに詳しく