Docker Scout Demo and Q&A

ウェビナー「Docker Scout: Live Demo, Insights, and Q&A」を見逃した場合、またはもう一度視聴したい場合は、オンデマンドで利用できます。 聴衆は私たちが答える時間よりも多くの質問をしたので、以下に追加のQ&Aを含めました。

ドッカースカウトのロゴと、ドッカースカウトでの脆弱性の表示方法のプレビューを示す画像

多くの開発者とその雇用主は、ソフトウェアサプライチェーンの保護に関心を持っています。 しかし、それはどういう意味ですか? シニアデベロッパーリレーションズマネージャーのマイケルアーウィンは、コーヒーの例えを使用しています(彼自身はコーヒーを飲んでいませんが! 最高の一杯のコーヒーを淹れるには、きれいな水、高品質の豆、優れた設備など、多くのものが必要です。 豆と水については、それらがあなたの基準を満たしているという保証が必要です。 たとえば、持続可能かつ倫理的に生産されていることを確認するために、出所と加工の独立した認証を取得している豆を探すことができます。

同じ概念がソフトウェアの作成にも当てはまります。 信頼できるコンテンツから始める必要があります。Docker 公式イメージ、Docker 検証済みパブリッシャー 、 Docker スポンサー付きオープンソース の イメージ を使用すると、信頼性の高い最新の基盤上に構築していることがわかります。これらのイメージと階層化されたソフトウェア ライブラリから、Docker は ソフトウェア部品表 (SBOM) を作成し、顧客に提示して、アプリケーションの作成に何が行われたかを正確に示すことができます。 また、 Docker Scoutを使用すると、既知の脆弱性を自動的にチェックできるため、セキュリティの問題が顧客に届く前に見つけて修正するのに役立ちます。

ウェビナーでは、シニアプリンシパルソフトウェアエンジニアのクリスチャンデュピュイがDocker Scoutを使用してデモンストレーションを行いました。 彼は、Docker ScoutがBuildKitによって作成されたSBOMと来歴証明をどのように利用しているかを強調しました。 彼はまた、Docker Scoutが重大度によって脆弱性を示すことを示しました。 Docker Scout は脆弱性の表示にとどまらず、脆弱性がイメージのどこに追加されたかを把握し、修復の提案を提供します。

聴衆はライブQ&A中に素晴らしい質問をしました。 ウェビナーではそれらすべてに答えることができなかったので、少し時間を取ってそれらに対処したいと思います。

ウェビナーQ&A

Docker Scout は CVE を特定するためにどのようなソースを使用しますか?

Docker Scout は、約 20 のアドバイザリ ソースから脆弱性データを取得します。 これには、Linuxディストリビューションや、Debian、Ubuntu、GitHub、GitLabなどのコードリポジトリプラットフォーム、およびその他の信頼できるアドバイザリーメタデータプロバイダーが含まれます。

Docker Scoutの記録システムに保存されているSBOM情報をアドバイザリデータと常に相互参照しています。 新しい脆弱性情報は、Docker Desktop 、Docker Scout CLI 、および scout.docker.com に直ちに反映されます。

ドッカースカウトの費用はいくらですか?

Docker サブスクリプションに含まれる内容については、Docker の価格ページを参照してください。

Docker Scout を CI パイプラインに追加するにはどうすればよいですか?

Docker Scout のドキュメントには、 CI 統合に関する専用のセクションがあります。 

どうすれば貢献できますか?

Docker Scout の背後にある製品チームと連携し、ロードマップに影響を与えるには、いくつかの方法があります。

どのプラットフォームがサポートされていますか?

Docker Scoutは、サポートされているすべてのオペレーティングシステムで動作します。 Docker Desktop バージョン 4.17 以降で Docker Scout を使用するか 、scout.docker.com にログインして、すべての Docker Hub イメージの情報を表示できます。 Docker Desktop のバージョンを最新の状態に保つ — リリースごとに新しい機能が追加されています。

また、Docker Scout CLI プラグインも提供しています。 手順については、 scout-cli GitHub リポジトリを参照してください。

脆弱性のリストをエクスポートするにはどうすればよいですか?

Docker Scout CLI を使用して脆弱性を SARIF ファイルにエクスポートし、さらに処理またはエクスポートすることができます。 詳細については、 Docker エンジンのドキュメントを参照してください。

すでにスキャンツールを使用している場合、Docker Scoutはどのように役立ちますか?

Docker Scoutは、ソフトウェア開発ライフサイクル全体の記録システムに基づいて構築されているため、ソフトウェア配信プロセスで使用する他のツールと統合できます。 詳細については、お問い合わせください 。 

Docker Scout の使用を開始する

開発者はスピード、セキュリティ、選択肢を求めています。 Docker Scout は、既知の脆弱性を早期に検出することで、開発者の効率とソフトウェア セキュリティの向上に役立ちます。 改善の提案を提供しますが、開発者は脆弱性に対処するための最良のアプローチを決定する際に選択肢があります。 Docker Scout がソフトウェア サプライ チェーンの保護にどのように役立つかを、今すぐ始めましょう

さらに詳しく