CVE対応を肩代わり　Dockerが「最初から安全なコンテナイメージ」を提供開始：コンテナの肥大化も抑制

　DHIは、システム運用の課題解決にも有用だ。

　一般的に、システム構築当初は最小限のパッケージでコンテナを構築しても、時間がたつにつれて不要なパッケージや古いソフトウェアでコンテナは肥大化しがちだ。こうした状況は、攻撃者に攻撃の機会を与えてしまう。DHIは必要最小限の構成を維持するため、こうした事態を回避しやすいという。

　CVEへの対応をDockerが肩代わりしてくれる点も魅力的だ。Dockerによると、セキュリティチームはCVE対応に追われ、開発者もパッチ適用作業で本来の開発に集中できなくなっているからだ。

　Dockerは、DHIの価値として次の3つを挙げた。

シームレスな移行

　DHIは「Alpine Linux」や「Debian」など、広く使われているディストリビューションをサポートしている。ベースのOSを変更したり、「Dockerfile」を書き換えたり、ツールを切り替えたりする必要がない。Dockerは「DHイメージへの切り替えは、Dockerfileの1行を更新するのと同じくらい簡単だ」としている。

柔軟なカスタマイズ

　DHIは、内部的には「ディストリビューションレス」の考え方を採用しており、シェルやパッケージマネジャー、デバッグツールなど、本番環境では不要でリスクとなるコンポーネントを排除している。こうした機能は、本稼働環境の攻撃対象領域を拡大させ、起動時間を遅くしたり、セキュリティ管理を複雑にしたりするからだ。DHIは、アプリケーションの実行に必要な基本的なランタイム依存関係だけを含めることで、セキュリティと保守が容易な、スリムで高速なコンテナを実現している。

自動パッチ適用と迅速なCVE対応

　DHIは、継続的なパッチ適用と更新を自動化している。Dockerは、アップストリームソースやOSパッケージ、全ての依存関係のCVEを監視しているという。アップデートがリリースされるとDHIイメージを再構築し、広範なテストをした上で、新しい認証で公開する。これらのプロセスは「SLSA」（Supply-chain Levels for Software Artifacts）のレベル3に準拠したビルドシステム上で実施されるため、イメージの整合性やコンプライアンスを確保できる。

　さらに、重要なコンポーネントはソースコードから直接ビルドしているため、緊急性の高いパッチも素早く提供できるという。Dockerは「重大」および「深刻度高」のCVEには、一般的な業界の応答時間よりも早い7日以内にパッチを適用するとしている。

　Dockerは、このDHIを同社の主要プロジェクトでテストしているという。例えば、標準の「Node」ベースのイメージをDHIのNodeイメージに置き換えたところ、脆弱性がゼロになり、パッケージ数を98％以上削減できたとしている。