Docker Hardened Images における役割と責任の理解

Docker Hardened Images（DHI）は、Docker によって厳選・保守されており、アップストリームのオープンソースコンポーネントをもとに構築されています。

セキュリティ、信頼性、コンプライアンスを実現するために、以下の3つの主体が責任を分担しています：

• アップストリームメンテナー: 各イメージに含まれるオープンソースソフトウェアを開発・維持している開発者やコミュニティ。

• Docker: ハードニングされ、署名付きで保守されているコンテナイメージを提供する責任を担います。

• あなた（ユーザー）: DHI を実行し、必要に応じて自社環境にあわせてカスタマイズする利用者。

本トピックでは、それぞれがどの責任を担うのかを明確にし、DHI を効果的かつ安全に活用するための指針を提供します。

リリース管理

• アップストリーム: DHI に含まれるソフトウェアコンポーネントの公式リリースを公開・保守します。これには、バージョニング、変更履歴（changelog）、非推奨通知などが含まれます。

• Docker: アップストリームのバージョンに基づいて、Docker Hardened Images をビルド・ハードニング・署名します。Docker は、アップストリームのリリーススケジュールおよび社内ポリシーに沿ってこれらのイメージを保守します。

• あなた（ユーザー）: DHI および関連するアップストリームプロジェクトのサポート対象バージョンを使用していることを確認してください。古い、またはサポートが終了したコンポーネントを使用すると、セキュリティリスクが生じる可能性があります。

パッチ適用

• アップストリーム: 各コンポーネントのソースコードを保守・更新し、ライブラリや依存関係における脆弱性の修正も行います。

• Docker: アップストリームのパッチを適用してイメージを再ビルドし、再リリースします。また、Docker は脆弱性を常時監視しており、影響を受けるイメージに対して迅速に更新を公開します。

• あなた（ユーザー）: 自社環境において DHI のアップデートを適用し、ベースイメージ上に追加したソフトウェアや依存関係にもパッチを適用してください。

テスト

• アップストリーム: 元となるソフトウェアの動作や機能を定義し、コア機能の検証に責任を持ちます。

• Docker: DHI がアップストリームの期待どおりに起動・実行され、正しく動作することを検証します。また、セキュリティスキャンを実行し、各イメージには テストアテステーション を含めています。

• あなた（ユーザー）: DHI 上でアプリケーションをテストし、加えた変更やカスタマイズが自社環境で期待どおりに動作することを確認してください。

セキュリティとコンプライアンス

• Docker: 各イメージに対して、署名付きの SBOM（ソフトウェア部品表）、VEX ドキュメント、ビルドプロビナンス、CVE スキャン結果を公開し、コンプライアンスおよびソフトウェアサプライチェーンのセキュリティを支援します。

• あなた（ユーザー）: DHI を自社のセキュリティおよびコンプライアンスワークフロー（脆弱性管理や監査など）に統合してください。