本文の内容は、2021年2月23日にEric Carterが投稿したブログ(https://sysdig.com/blog/sysdig-achieves-red-hat-vulnerability-scanner-certification/)を元に日本語に翻訳・再構成した内容となっております。
イメージの脆弱性スキャンは、コンテナやKubernetesを使ったセキュリティの重要な第一ラインです。本日、Red Hatは、Sysdig SecureでRed Hatが公開しているセキュリティデータを標準化する作業に基づいて、SysdigをRed Hatの認定セキュリティパートナーとして認定しました。
Red Hatのチームとのコラボレーションによって達成されたこのRed Hat Vulnerability Scanner認定により、SysdigはRed Hatが公開しているイメージや関連パッケージとコンテナの脆弱性スキャン結果のより一貫性を提供することができます。その結果、一般的な脆弱性とエクスポージャー(CVE)を検出する際の精度、透明性、信頼性が向上し、相互の顧客は恩恵を受けることができます。
スキャン結果の一貫性を促進
CI/CD パイプライン、コンテナ、オープンソース上に構築された最新のアプリケーション開発は、速いペースで動きます。組織がゼロから書くのではなく、時間を節約するためにコードを組み立てるため、固有のセキュリティリスクがあります。イメージのセキュリティ スキャンを自動化する方法を見つけることは、DevOps チームにとって最重要課題です。イメージスキャンは、開発者のビルドパイプラインの安全性を確保するのに役立ち、イメージコンテンツとコンテナ構成の分析を自動化して、既知のセキュリティ問題、脆弱性、悪習を特定して分類します。
Red Hat は、パートナーが提供している製品によってセキュリティデータソースやプラクティスが異なるため、顧客の脆弱性リスク評価に一貫性がないことが多いことを認識していました。私たちはこの課題を知っています! Sysdig Secure は、Red Hat のような信頼できる 15 以上のソースからの脆弱性フィードを利用しています。これらの CVE フィードはそれぞれ独自のものですが、イメージの内容をより広範な CVE データセットと関連付けることで、脆弱性のあるパッケージやファイルなどについてより高いレベルでの洞察を確実にするという意味では価値があります。標準化は素晴らしい動きです – Red Hat は正しい考えを持っています。一貫性を持たせることで、誤った解釈を排除し、コンテナを構築・運用するチームの時間を節約することができます。
イメージスキャンの概要 – Sysdig Secure
どのように動作するか
この連携と標準化がどのように機能するかの概要を説明します。
- Sysdig Secure は、公開されている Red Hat OVAL v2 セキュリティデータフィードを使用します。
- この情報を使用して、Sysdig イメージスキャンは、Red Hat がサポートするパッケージにどのような脆弱性が影響を与えているか、修正 (パッチ) が利用可能かどうかを理解します。
- Sysdig Secure は、スキャン結果に CVE の適切な深刻度評価を表示します。
ビルドパイプラインをセキュアにする
より多くの DevOps チームが、開発ライフサイクルの早い段階でセキュリティレンズを適用することを目標に、セキュリティプラクティスを「シフトレフト」に移行しています。実際、第4回 Sysdig 2021 コンテナセキュリティと使用状況レポートでは、Sysdigの顧客の74%がデプロイ前にイメージをスキャンしていることがわかりました。
開発ライフサイクルの早い段階でコンテナイメージのセキュリティへの影響を考慮することで、攻撃者への扉を閉じ、ランタイム時のコンテナに影響を与える予期せぬ不要な活動の可能性を減らすことができます。
まとめ
この新しい Red Hat Vulability Scanner Certification で一貫性と標準化を推進することで、Red Hat 認定セキュリティパートナーソリューションを使用するお客様が、Red Hat 製品やパッケージの脆弱性リスクを評価する際に、より合理化された経験を持つことができるよう支援しています。Sysdig SecureをRed Hatの戦略と標準に合わせることで、Sysdigのお客様はCI/CDパイプラインやレジストリを使用したイメージスキャンの明確性と正確性を向上させることができます。
Red Hat とコンテナを使用したセキュリティの詳細については、Red Hat OpenShift セキュリティガイドをお読みください。