米Dockerは、Docker Engineの脆弱性に対処すべく4月7日(現地時間)にリリースした「Docker Desktop 4.7.0」に、DockerイメージのSBOM(ソフトウェア部品表)を表示する実験的なCLIコマンド、docker sbomを収録しており、今後のリリースではLinux向けパッケージにも同コマンドの収録を予定している。
docker sbomコマンドは、ソフトウェアサプライチェーンにおけるセキュリティ強化の一環として、コンテナイメージ内にあるものの可視性をさらに高める第一歩として、AnchoreのSyftプロジェクトを利用して、オープンソースのコラボレーションによって開発された。
SBOMは、ソフトウェアを構成する、または構築に使用されたすべてのコンポーネントであり、コンテナイメージの場合はインストールされているオペレーティングシステムパッケージと、ソフトウェアが依存する言語固有のパッケージが含まれる。
同社は、コンテナイメージに何が含まれているかを判断し、記録するのに最適なタイミングは、docker buildによってイメージを作成する時だと考えており、BuildKitを使用してdocker buildにSBOM機能を組み込むべく取り組みを行っている。また、BluidKitを介して、すべてのコンテナイメージにSBOMを導入すべく、パートナーやコミュニテイと協力していく。
- 関連リンク
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
