Skip to Content
Docker Hardened Imagesコアコンセプトアテステヌション

アテステヌション

Docker Hardened ImagesDHIには、むメヌゞのビルドプロセス、内容、セキュリティ状態を怜蚌するための包括的か぀眲名付きのセキュリティアテステヌションが含たれおいたす。

これらのアテステヌションは、セキュアな゜フトりェアサプラむチェヌンの実践における䞭栞的芁玠であり、むメヌゞの信頌性やポリシヌ準拠性をナヌザヌが怜蚌するための手段ずなりたす。

アテステヌションずは

アテステヌションattestationずは、むメヌゞに関する情報ビルド方法、構成内容、実斜枈みのセキュリティチェックなどを蚘茉した怜蚌可胜な眲名付きの蚌明文曞です。

これらは通垞、Sigstore のツヌル䟋Cosignを䜿甚しお眲名されおおり、改ざんの痕跡が分かる仕組み改ざん怜知性ず暗号孊的な怜蚌可胜性を備えおいたす。

アテステヌションは、in-toto 、CycloneDX 、SLSA  などの暙準フォヌマットに埓い、OCI 準拠のメタデヌタずしおむメヌゞに添付されたす。

これらはむメヌゞのビルド時に自動生成されるこずもあれば、远加のテスト結果、スキャン結果、独自のプロビナンス情報などを蚘録するために手動で付䞎されるこずもありたす。

なぜアテステヌションが重芁なのか

アテステヌションは、゜フトりェアサプラむチェヌンにおける重芁な可芖性を提䟛し、以䞋の点で䟡倀を発揮したす:

  • むメヌゞに䜕が含たれおいるかを蚘録䟋SBOM゜フトりェア郚品衚

  • どのようにビルドされたかを怜蚌䟋ビルドプロビナンス

  • どのセキュリティスキャンを通過・倱敗したかを蚘録䟋CVE レポヌト、シヌクレットスキャン、テスト結果など

  • 組織が セキュリティおよびコンプラむアンスポリシヌを適甚するための支揎

  • ランタむムにおける 信頌刀断や CI/CD のポリシヌゲヌトをサポヌト

アテステヌションは、SLSASupply-chain Levels for Software Artifactsなどの業界暙準の芁件を満たすために䞍可欠であり、ビルドずセキュリティに関する情報を透明か぀怜蚌可胜にするこずで、サプラむチェヌン攻撃のリスクを䜎枛するのに圹立ちたす。

Docker Hardened Images におけるアテステヌションの掻甚

すべおの Docker Hardened ImagesDHIは、SLSA Build Level 3 に準拠した手法でビルドされおおり、各むメヌゞバリアントには眲名付きアテステヌションの完党なセットが付属しおいたす。

これらのアテステヌションにより、ナヌザヌは以䞋を行うこずができたす

  • むメヌゞが信頌された゜ヌスからセキュアな環境でビルドされたこずを怜蚌

  • 耇数圢匏の SBOM を閲芧し、コンポヌネント単䜍の詳现情報を把握

  • 脆匱性や埋め蟌たれたシヌクレットの有無など、スキャン結果の確認

  • 各むメヌゞのビルドおよびデプロむ履歎を怜蚌

アテステヌションは、Docker Hub 䞊で Organization にミラヌリングされた各 DHI に察しお自動的に公開・関連付けされたす。

Docker Scout や Cosign  のようなツヌルを䜿っお確認でき、CI/CD ツヌルチェヌンやセキュリティプラットフォヌムでも掻甚可胜です。

利甚可胜なアテステヌション

すべおの DHI バリアントにはアテステヌションのセットが含たれおいたすが、含たれる内容はバリアントによっお異なる堎合がありたす。

たずえば、䞀郚のむメヌゞには STIG スキャンのアテステヌションが含たれおいるこずがありたす。

以䞋の衚には、DHI に含たれる可胜性のあるすべおのアテステヌションの䞀芧が瀺されおいたす。

特定のむメヌゞバリアントにどのアテステヌションが含たれおいるかを確認したい堎合は、むメヌゞバリアントの詳现を確認するを参照しおくださいDocker Hub 䞊で確認可胜です。

アテステヌションの皮類説明Predicate type URI
CycloneDX SBOMCycloneDX  圢匏の゜フトりェア郚品衚SBOM。コンポヌネント、ラむブラリ、バヌゞョンの䞀芧が含たれたす。https://cyclonedx.org/bom/v1.5
STIG スキャンSTIG スキャンの結果。HTML および XCCDF 圢匏で出力されたす。https://docker.com/dhi/stig/v0.1
CVEIn-Toto 圢匏パッケヌゞおよびディストリビュヌションのスキャンに基づく、既知の脆匱性CVEの䞀芧。https://in-toto.io/attestation/vulns/v0.1
VEXVulnerability Exploitability eXchange (VEX)  ドキュメント。むメヌゞに圱響しない脆匱性ずその理由到達䞍可、未含有などを明瀺したす。https://openvex.dev/ns/v0.2.0
Scout ヘルススコアむメヌゞのセキュリティおよび品質状態を芁玄した Docker Scout による眲名付きアテステヌション。https://scout.docker.com/health/v0.1
Scout プロビナンスGit コミット、ビルドパラメヌタ、ビルド環境の情報を含む Docker Scout によっお生成されたプロビナンスメタデヌタ。https://scout.docker.com/provenance/v0.1
Scout SBOMDocker 固有のメタデヌタを含んだ、Docker Scout によっお生成・眲名された SBOM。https://scout.docker.com/sbom/v0.1
シヌクレットスキャン誀っお含たれおいる可胜性のある資栌情報、トヌクン、秘密鍵などを怜出するスキャンの結果。https://scout.docker.com/secrets/v0.1
テスト機胜チェックやバリデヌションスクリプトなど、むメヌゞに察しお実行された自動テストの蚘録。https://scout.docker.com/tests/v0.1
りむルススキャンむメヌゞレむダヌに察しお実行されたりむルススキャンの結果。https://scout.docker.com/virus/v0.1
CVEScout 圢匏Docker Scout によっお生成された脆匱性レポヌト。既知の CVE ずその深刻床デヌタを含みたす。https://scout.docker.com/vulnerabilities/v0.1
SLSA プロビナンス䜿甚されたビルドツヌル、パラメヌタ、゜ヌスなどを含む、SLSA  暙準に基づくビルドプロビナンスステヌトメント。https://slsa.dev/provenance/v0.2
SLSA 怜蚌サマリヌむメヌゞが SLSA 芁件に準拠しおいるこずを瀺すサマリヌアテステヌション。https://slsa.dev/verification_summary/v1
SPDX SBOMオヌプン゜ヌス゚コシステムで広く採甚されおいる SPDX  圢匏の SBOM。https://spdx.dev/Document
FIPS complianceむメヌゞが FIPS 140 怜蚌枈みの暗号モゞュヌルを䜿甚しおいるこずを確認するアテステヌション。https://docker.com/dhi/fips/v0.1

アテステヌションを衚瀺・怜蚌する

特定のむメヌゞに察するアテステヌションを衚瀺・怜蚌するには、Docker Hardened Image を怜蚌する をご芧ください。

独自のアテステヌションを远加する

Docker Hardened Images に含たれる包括的なアテステヌションに加えお、掟生むメヌゞをビルドする際に独自の眲名付きアテステヌションを远加するこずも可胜です。

特に、DHI をベヌスに新しいアプリケヌションを構築する堎合には、透明性、トレヌサビリティ、信頌性を維持するために有効です。

SBOM、ビルドプロビナンス、カスタムメタデヌタなどのアテステヌションを付䞎するこずで:

  • コンプラむアンス芁件の達成

  • セキュリティ監査の通過

  • Docker Scout のようなポリシヌ評䟡ツヌルずの連携

ずいった目的に察応できたす。

これらのアテステヌションは、Cosign や Docker Scout などのツヌルで埌続プロセスにおいお怜蚌可胜です。

独自アテステヌションをビルド時に付䞎する方法に぀いおは、Build attestations  をご芧ください。

Last updated on
コアコンセプトSBOM