CNA(CVE番号付け機関)は、安全なソフトウェアサプライチェーンに関与するバグ報奨金プログラム、組織、および企業のコホートを構成するため、脆弱性報告の重要な部分です。 Dockerの場合のように、何百万人もの開発者がプロジェクトに依存している場合、ソフトウェアサプライチェーンの一部としてサイバーセキュリティと優れたスチュワードシップへの取り組みを強化するためにCNAになることが重要です。
以前は、Docker は CNA ステータスなしで MITRE と GitHub を通じて直接 CVE を報告していました (今日でもこれを行っている組織は他にもたくさんあり、CVE レポートには CNA ステータスは必要ありません)。
しかし、今は違います! Dockerは現在、MITREの下で正式にCNAであるため、脆弱性を公開したときに、より良い通知とドキュメントを受け取る必要があります。
CNA とは何ですか? (そして、MITREはどこに収まりますか?
CNA、CVE、およびMITREがどのように組み合わされるかを理解するために、これらすべての頭字語の背後にある理由から始めましょう。 つまり、脆弱性です。
脆弱性が出現したとき、開発者が全員が同じ脆弱性について話していることを知るために、一意の識別子を持つことが非常に重要です。 (正直に言うと、「あのJavaバグ」と呼んでも、実際にはうまくいきません。
したがって、誰かがCVE(共通脆弱性識別子)の指定を与える必要があります。 そこでCNAの出番です。 多くの場合 MITRE であるルート CNA に要求を送信します (いいえ、MITRE は頭字語ではありません)。 次に、レポートの分類方法に応じて新しいCVE番号または複数が割り当てられ、公式になります。 また、すべてのCNAを同じページに保つために、CVEシステムを維持している企業があります。
MITREは、米国政府のCISA(サイバーセキュリティおよびインフラストラクチャセキュリティエージェンシー)の支援を受けてシステムを維持する非営利法人です。 CISAと同様に、MITREは、防衛、サイバーセキュリティ、およびその他の無数の業界に関して、公共の利益を保護する責任を主導するのに役立ちます。
CVEシステムは、テクノロジーの世界で見られる恐ろしい問題や非常に恐ろしい脆弱性に関する参照と情報を提供し、共有リソースとテクノロジーの脆弱性を簡単に公開し、人々に通知し、対策を講じます。
CVEプログラムについて詳しく知りたい場合は、MITREの一連のビデオをチェックしてください 詳細を見る か、プログラムの ホームページをご覧ください。
Dockerはどこに適合しますか?
Docker は過去に MITRE を通じて直接 CVE を報告しており、 たとえば Docker Engine 上の GitHub を通じてレポート機能を使用したことがあります。 ただし、CNAになることで、レポートに対してより直接的かつ調整されたアプローチを取ることができます。
そして、より良いレポートは、私たちのツールを使用するすべての人のより良い認識を意味します!
DockerはCNAになるプロセス(トレーニングと宿題を含む)を経て、Docker DesktopとDocker Hubに関連する脆弱性についてより効果的に報告できるようになりました。 CNAステータスのチェックリストには、適切な開示およびアドバイザリーポリシーの実施も含まれています。 CNA としての Docker のステータスは、Docker Desktop に接続されているさまざまな製品、および Docker Hub とレジストリに接続されている製品の CVE レポートを一元化できることを意味します。
CNAになることで、Dockerはソフトウェアサプライチェーンを構成する企業のコミュニティでより積極的になることができます。 MITREは、デフォルトのCNAおよびルートCNAの1つ(CISA もルートCNAです)として、脆弱性レポートの公平なレビュー担当者として機能します。 Microsoft、HashiCorp、Rapid7、VMware、Red Hat、その他何百もの組織、ベンダー、またはバグ報奨金プログラムもCNAとして機能します。
CNA としての Docker のステータスは、当社が維持している製品とプロジェクトについてのみレポートすることを意味します。 CNAであることには、特定の製品がいつサポート終了になる可能性があるか、そしてそれがCVEの割り当てにどのように影響するかを考慮することも含まれます。
Ch-ch-変更?
Docker Hub と Docker Desktop を使用した経験は、Docker の新しい CNA ステータスによるものになりますか? 短い答え:いいえ。 長い答え:Dockerを使用するコアエクスペリエンスは変わりません。 脆弱性に取り組み、それらの脆弱性に関するより良い通知を提供することでレベルアップしました。
より良い通知とは、セキュリティアドバイザリの一元化されたリポジトリを意味します。 これらの報告された脆弱性はMITREのCVEプログラムにリンクされるため、友人、犬、または猫の検索、追跡、および通知がはるかに簡単になります。
Dockerが最新の脆弱性を報告し、CVEが割り当てられるたびに、次のアドバイザリの場所を確認してください: https://docs.docker.com/security/。 歴史的な勧告については 、https://docs.docker.com/desktop/release-notes/ も確認してください そして https://docs.docker.com/engine/release-notes/。
報告されるCVEは、Dockerのツールセットの消費者に影響を与えるものであり、最近ニュースで見た可能性のある他のCVEの発表と同様に、Dockerからの修復とユーザーからの潜在的なアップグレードアクションが必要になることに注意してください。
したがって、私たちが発表する可能性のあるCVEがいつ適用されるかに備えて、フィンを準備してください。
ドッカーがあなたを助けるのを手伝ってください
ユーザーとセキュリティ研究者は、Docker Hubおよび/またはDockerデスクトップの使用で遭遇することに関することを[ email protected]に報告することをお勧めします。 (参考までに、セキュリティとプライバシーのガイドラインは ここにあります。
また、 Dockerのドキュメント に従って適切な構成を行い、Mobyが行わないことを何もしないことをお勧めします。 (つまり、ビルドではクジラを意図し、Dockerを使用してフィンエンドと家族が適切に構成できるようにする必要があります)。
また、すぐにクジラの駄洒落の使用をやめることを約束することはできませんが、開発者にとって優れたスチュワードであり続けることを約束することはできます—そしてその大部分は適切なセキュリティ手順を含みます。