Docker Scout Health Scores: Docker Hub リポジトリ内のコンテナイメージのセキュリティ評価

私たちは、開発者にとってソフトウェアのセキュリティをよりシンプルかつ効果的にするために設計された最新の機能である Docker Scoutヘルススコアを導入できることを嬉しく思います。 

開発者にとって使いやすいソフトウェアセキュリティ

Docker Scout のヘルス スコアは、 Docker Hub 内のコンテナ イメージのセキュリティとコンプライアンスのステータスを評価し、イメージの "ヘルス" を表す 1 つの定量化可能なメトリックを提供します。 この機能は、開発者主導のソフトウェア セキュリティにおける主要な摩擦点の 1 つであるセキュリティの専門知識の欠如に対処し、開発者がツールからの重要な洞察を実行可能なステップに変えることを容易にします。

docker scout policiesでアプリケーションのセキュリティ体制を強化する方法バナー 2400x1260px

Docker Scout のヘルススコアの仕組み

Docker Scoutのヘルススコアは、アルファベット順のグレーディングシステムを利用して、Hubリポジトリに保存されているイメージを評価します。 スコアの範囲はAからFまでで、Aは総合順位が最高、Fは最低順位を表します。 これらの正常性スコアは、広く受け入れられている安全なサプライ チェーンのベスト プラクティスに基づいて、一連のセキュリティおよびコンプライアンス チェックに対して画像を評価することによって計算されます。 考慮される要素には、既知の脆弱性、リスクの高いライセンス、ソフトウェア部品表 (SBOM) の可用性、来歴証明書、基本イメージの鮮度などが含まれます。 これらのチェックと採点プロセスの詳細については、 ドキュメントをご覧ください。

手記: これらの評価のプライバシーを維持するために、ヘルス スコアを表示できるのは、イメージ リポジトリを所有する Docker Hub 組織のメンバーであり、リポジトリに対する少なくとも "読み取り" アクセス権を持つユーザーのみです。

Docker Hub内のDocker Scoutの力

ヘルススコアは、安全なソフトウェアサプライチェーンツールである Docker Scoutによって強化され、ソフトウェアサプライチェーン全体の詳細な分析と洞察を通じて、組織が コンテナ化されたアプリケーションのセキュリティ体制 を強化できるようにします。 さらに、Docker Scout は、 詳細なポリシー に対してコンテナイメージを評価し、セキュリティとライセンスの標準への準拠を確保します。

Docker Scout の強力な分析機能を Docker Hub に組み込むことで、ヘルス スコアを開発者のイメージ ライフサイクル管理ワークフローにシームレスに適合させることができます。 hub.docker.com を訪れる開発者は、最新画像と過去の画像の最新かつ信頼性の高い評価を活用し、スコアの低い画像に優先順位を付けて改善するための積極的な対策を講じることができます。この機能は、コンテナ化されたアプリケーションを潜在的なセキュリティ脅威から保護するために重要です。

図 1 は、ヘルス スコアが低い画像の例を示しています。 このイメージは、少なくとも 1 つの既知の注目度の高い CVE ( Log4Shell など) が含まれており、サプライ チェーンの証明 (SBOM や出所など) が欠落しており、古いベース イメージを使用しており、デフォルトのルート ユーザーが指定されているため、D スコアを獲得しました。

Docker Scout のヘルススコア評価 d のスクリーンショットで、注目度の高い脆弱性、サプライ チェーンの構成証明、未承認の基本イメージ、デフォルトの非ルート ユーザーなどのチェックを示しています。
図 1: ヘルススコアが低いサンプル画像。

Docker Hub のヘルススコア 

開発者がヘルススコアを簡単に活用できるようにしました。 ユーザーは、組織の [リポジトリ ] タブ (図 2) に移動するか、特定のリポジトリの詳細ビュー (図 3) に移動して、Docker Hub インターフェイス内で直接表示できます。 

さまざまなリポジトリの異なるヘルススコアを示す docker hub リポジトリタブのスクリーンショット。
図 2: リポジトリ タブ — リポジトリごとの正常性スコア。
詳細なリポジトリ ビューと docker scout の正常性スコア評価を示す docker hub のスクリーンショット。
図 3: リポジトリの詳細 — タグごとのヘルススコア。

より詳細な分析を求める場合は、特定のイメージリポジトリに対してDocker Scoutを有効にすると、特定された問題に対処するための詳細な安全なソフトウェアサプライチェーンの洞察と推奨事項に簡単にアクセスできます(図 4)。

コピーレフト ライセンス、注目度の高い脆弱性、古い基本イメージなどのイメージの詳細とコンプライアンス ステータスを示す Docker Scout のスクリーンショット。
図 4: Docker Scout からのイメージの詳細。

ゲーミフィケーションによるプロアクティブなセキュリティ

複雑で安全なサプライチェーンの洞察を消化しやすくするだけでなく、ヘルススコアはゲーミフィケーションの要素も導入します。 Docker のチーム内では、開発者が担当するコンテナ イメージを改善するように開発者を動機付けています。 明確で定量化可能なAからFの指標により、開発者は積極的なステップを通じてより高いスコアを追求するイニシアチブを取っています。 このプロセスにより、継続的な改善の文化が育まれ、開発者は自発的に是正措置と更新を優先してより良いスコアを達成し、自社のポートフォリオのセキュリティとコンプライアンスを強化しています。

結論

Docker Scout のヘルススコアを活用することで、コンテナ化された環境でのセキュリティとコンプライアンス管理の向上に向けた積極的な措置を講じ、ソフトウェアサプライチェーンの全体的なレジリエンスを高めることを組織に奨励することを目指しています。 

この機能は現在 ベータ版 として提供されており、早期アクセスプログラムへの参加が選ばれた限られた数の組織に展開されています。 ヘルススコアを試したり、フィードバックを提供したりするには、 XSlackなどのソーシャルチャネルで製品チームに連絡してください。

さらに詳しく