コンテナ脆弱性対応 の探索
コンテナ脆弱性対応 アプリケーションは、コンテナ脆弱性一致アイテム (CVIT) をインポートします。ルールに従って、この機能を使用してコンテナの脆弱性を修正できます。コンテナ脆弱性対応 は個別のサブスクリプションで利用できます。
従来のアプリケーションとは異なり、コンテナはすべてのアプリケーションソースコードをその依存関係とともに、コンテナイメージというバイナリファイルにパッケージ化します。イメージはレジストリに公開されるため、任意のプラットフォームでアプリケーションまたはコンテナインスタンスとしてこのイメージを実行することができます。コンテナ導入前のライフサイクルには、次のステージがあります。
- コンテナイメージを作成する:コンテナイメージが作成され、ソースコードまたは依存ライブラリに指定されます。
- コンテナイメージをビルドする
- コンテナイメージを公開する:コンテナイメージファイルがレジストリに公開されます。イメージごとに、イメージのコンテンツに基づいた固有の ID が付いています。これらのイメージは、展開後モードでレジストリからランタイム環境に取得されます。その後、本番環境のホスト上でコンテナインスタンスとして実行されます。
コンテナイメージのスキャン
コンテナイメージを展開する前後にスキャンして、脆弱性がないかどうかを調べることができます。展開前のフェーズでコンテナイメージがスキャンされると、すぐに対応する必要のない脆弱性アラートが多数表示される可能性があります。一方、展開後のフェーズで脆弱性をスキャンすると、次のような大きなメリットがあります。
- 展開したアプリケーションに関連するリスクが可視化される。
- 本番環境の画像のみにフォーカスしたビューが提供される。
- すぐに対処する必要がある脆弱性が特定され、優先順位が付く。
- イメージのメタデータに基づいて脆弱性がグループされ、アサインされる。たとえば、イメージリポジトリ、イメージラベル、およびコンテナイメージに関連するその他の属性を、グループ化やアサインルールに使用できる。
コンテナイメージにはそれぞれ、次の主要なコンポーネントがあります。
- コンテナまたはイメージリポジトリ:リポジトリがある、または名前がついている Docker イメージを表します。イメージのすべてのバージョンをホストします。
- Docker イメージ:特定のバージョンのビルドの Docker イメージを表します。
- Docker コンテナ:Docker イメージの実行中のインスタンスを表します。バージョンごとに固有の ID があり、本番環境で動いているコンテナの複数のインスタンスがあります。
コンテナ脆弱性対応 モジュール
コンテナ脆弱性対応 モジュールは、次の詳細を提供します。
- コンテナ脆弱性一致アイテム
- コンテナ脆弱性一致アイテム (CVIT) は、アサイン、重要度、エクスプロイト可能性、および修復ステータスに基づいてグループ化され、リストされます。
- ライブラリ
- 脆弱性情報データベース (NVD) およびサードパーティのライブラリにアクセスします。NVD ライブラリは脆弱性一致アイテム ID に限定された情報を提供しますが、サードパーティのライブラリは脆弱性一致アイテムの詳細のほとんどを提供します。[NVD] 画面の情報は、NVD 統合がトリガーされた場合にのみ入力されます。
- 管理
- [管理] モジュールは、脆弱性一致アイテムのアサインルール、修復ターゲットルール、およびコンテナ脆弱性統合に関する情報を提供します。さらに、脆弱性一致アイテムを自動クローズするまでの期間を設定することもできます。[VI の粒度の構成 (Configure VI Granularity)] セクションを使用して、キーの組み合わせを指定して CVIT の粒度を構成できます。デフォルトでは、CVIT はイメージリポジトリ、イメージタグ、および脆弱性の組み合わせに対して作成されます。キーにコンポーネントを追加して、さらに詳細に設定することができます。たとえば、イメージリポジトリ、イメージタグ、脆弱性、クラスターを組み合わせて CVIT を作成できます。
利用可能バージョン
| リリースバージョン | リリースノート |
|---|---|
コンテナ脆弱性対応 v2.1 コンテナ脆弱性対応 v2.06 コンテナ脆弱性対応 v2.0.4 |
Container Vulnerability Response リリースノート 互換性情報については、「 KB0856498 Vulnerability Response 互換性マトリクスおよびリリーススキーマの変更」を参照してください。 |