コアコンセプト

Docker Hardened Images（DHI）は、セキュアなソフトウェアサプライチェーンの実践を基盤として構築されています。

このセクションでは、署名付きアテステーションやイメージの不変性（ダイジェスト）、SLSA や VEX といった標準仕様など、DHI の基盤となるコアコンセプトを解説します。

Docker Hardened Images がどのようにコンプライアンス、透明性、セキュリティを支えているのかを理解したい方は、まずこのセクションから始めてください。

セキュリティメタデータとアテステーション

SBOM、VEX、ビルドプロビナンス、スキャン結果など、各 Docker Hardened Image に含まれる署名付きアテステーションの全体像を確認します。

SBOM とは何か、その重要性、Docker Hardened Images における署名付き SBOM の活用方法を学びます。

Docker Hardened Images が SLSA Build Level 3 に準拠している方法と、セキュアかつ改ざん耐性のあるビルドの検証方法を学びます。

Docker Hardened Images のビルドの由来をトレースするためのプロビナンスメタデータと、それが SLSA コンプライアンスをどう支えるかを理解します。

FIPS

Docker Hardened Images が FIPS 140 をどのようにサポートしているか、検証済み暗号モジュールと署名付きアテステーションを通じてコンプライアンス監査を実現する方法を学びます。

STIG

政府やエンタープライズ向けのコンプライアンス要件に対応する STIG ハードニング済みイメージと、そのセキュリティスキャンアテステーションを確認します。

Docker Hardened Images が、安全なコンテナ構成とデプロイメントのために Center for Internet Security（CIS）Docker ベンチマークの要件を満たす方法を学びましょう。

CVE とは何か、Docker Hardened Images が脆弱性露出をどう低減するか、また人気のツールでイメージをスキャンする方法を学びます。

VEX を用いて実際に悪用可能な脆弱性を特定し、リスクの優先順位づけを行う方法を学びます。

Docker Hardened Images が署名付きメタデータやプロビナンス、最小化された攻撃対象領域を通じてソフトウェアサプライチェーン全体をどう守るかを学びます。

Docker Hardened Images がスキャン、署名、デバッグツールと連携してセキュアな SDLC をどう支援するかを確認します。

Docker Hardened Images が distroless バリアントを用いて攻撃対象領域をどのように最小化し、不要なコンポーネントを排除しているかを学びます。

DHI における glibc バリアントと musl バリアントの違いを比較し、互換性、サイズ、パフォーマンスの観点から適切なベースイメージを選ぶ方法を学びます。

イメージダイジェスト、読み取り専用コンテナ、署名付きメタデータが Docker Hardened Images の改ざん防止と不変性をどのように担保するかを学びます。

Docker Hardened Images が最小構成、非 root 実行、セキュアデフォルト構成を通じてどのようにセキュリティを実現しているかを学びます。

不変なイメージダイジェストを使って、使用中の Docker Hardened Image の一貫性と正確性を検証する方法を学びます。

Docker Hardened Images が Cosign を用いて暗号的に署名され、真正性・完全性・セキュアなプロビナンスを保証している仕組みを理解します。