Docker Scoutは、コンテナイメージを分析して、脆弱性、古いパッケージ、および潜在的なコンプライアンス上の問題を特定するセキュリティツールです。Docker DesktopとDocker Hubに統合されており、依存関係のリスクを開発ワークフローの早い段階で可視化できるため、本番環境に展開する前にセキュリティ上の問題へ対処できます。Docker ScoutはCVEの影響状況の監視を支援し、継続的なパッチ適用とDocker Hardened Imagesの構築に役立ちます。

その目的は、スキャンと可視化にあります。つまり、どこでCVEが発生しているのか、それがイメージ内に含まれているのか、そしてそのリスクが何を意味するのかを、まだ対処できる段階で把握できるようにすることです。

Docker Scoutは各イメージのソフトウェア部品表（SBOM）を生成します。これは、そのイメージに含まれるすべてのコンポーネントの完全なインベントリです。次に、そのSBOMを継続的にストリーミングされるCVEデータと相互参照して、既知の脆弱性を明らかにし、新しい脅威が特定されたらすぐに修復手順を推奨します。

このアプローチは、定期的なスキャンに依存しないことを意味します。リポジトリに対してScoutを有効にすると、イメージのメタデータスナップショットが保存され、新しいCVE情報が利用可能になるたびに分析結果が自動的に再評価されるため、スキャンを再実行しなくてもセキュリティーの状態を最新の状態に維持できます。

はい。ベースイメージにセキュリティ上の問題がある場合、Docker Scoutは更新済みまたは修正済みのバージョンを確認し、置き換えを推奨します。他のレイヤーで導入された脆弱性については、問題がどこで発生したのかを正確に特定し、レイヤーごとの推奨事項を提示します。つまり、単に問題の一覧を取得するだけではなく、適切な箇所で問題を修正するための具体的な手順を得られるということです。

Docker Scoutは、SDLC統合を通じてソフトウェア開発ライフサイクル全体に組み込まれています。配置前にローカルで脆弱性分析を実行し、セキュリティポリシーに照らしてイメージを評価し、Docker Desktop内で修正に関するガイダンスを取得できます。つまり、セキュリティチェックは最後に追加されるものではなく、開発プロセスの中に組み込まれています。

はい。Docker Scoutのポリシー評価ツールを使用すると、確立されたガイドラインに照らしてイメージのセキュリティ態勢を評価できます。イメージが満たすべき基準を定義すると、Scoutがそれらを継続的に評価します。これにより、セキュリティチームは各イメージを手動でレビューすることなく、一貫した方法でコンプライアンスを適用できます。

ほとんどのツールは、脆弱性の特定で止まります。Docker Scoutは、特定のイメージレイヤーに関連付けられた実行可能な修正ガイダンス、定期的なスキャンではなく継続的に配信されるCVEデータに基づく継続的な評価、および定義済みの基準に照らしてセキュリティー態勢を評価するポリシー評価機能を提供することで、さらに一歩先を進んでいます。

Docker Scoutは、Docker Desktop、Docker Hub、Docker CLI、および Docker Scout Dashboardにネイティブ統合されています。そのため、分析は開発者が普段作業している環境で実行され、別のツールを開いて確認する必要がありません。

Docker Scoutを有効にするには、Docker Hub組織の管理者権限が必要です。有効化すると、Scoutはレジストリ全体のイメージを分析し、組織のセキュリティポリシーに照らして評価を行い、脆弱性情報と修正情報をDocker DesktopおよびDocker Hubを通じてチームに提供できます。