GoogleのCI/CDプラットホームCloud Buildがコンテナイメージの脆弱性をスキャンする

Googleが今日(米国時間9/19)、同社のCD/CIプラットホームCloud Buildの重要なアップデートを発表した。それにより、このサービスを利用して構築されるすべてのコンテナイメージに対し脆弱性スキャンが行われる。Container Registryに対するその脆弱性スキャンはまだベータだが、現代的なDevOpsの実践手法を採用した企業に対し、彼らがデプロイするコンテナに確実に、既知の脆弱性がないようにすることがそのねらいだ。

Googleがいみじくも言うように、セキュリティプロトコルがつねに確実に実践されているようにするための唯一の方法は、その工程を自動化することだ。今回の場合では、Cloud Buildの新しいイメージはすべて、Cloud Buildがそのイメージを作ってそれをContainer Rgistryに保存するそのときに、自動的にスキャンされる。

このサービスは、セキュリティ関連の標準的ないくつかのデータベースを利用して脆弱性を見つける。現在、脆弱性を見つけることのできるのは、Ubuntu、Debian、そしてAlpineのパッケージだ。CentOSとRHELにも、近く対応する。

問題を見つけたらユーザーに通知するが、ユーザー企業が自動化のルールを決めて、自動的にアクションをさせることもできる。アクションへのメッセージングとアクションの実行にはそれぞれ、Google CloudのPub/Sub通知と、サーバーレスのCloud Functionsを用いる。ユーザーは、脆弱性の重度やCVSSのスコア、どのパッケージが危ないか、有効な対策の有無、などに関する詳細レポートを受け取る。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Apple曰く、OS Xのユーザのほとんどはbashの悪用に対して安全

AppleがいわゆるShellshock脆弱性に対応する公開声明を発表し、OS Xのユーザはほとんどの場合、いかなる攻撃の可能性に対しても安全である、と確証した。Appleのスポークスパーソンは本誌TechCrunchに、この脆弱性に関する次のような一文を提供した。それは、AppleのデスクトップOSにも含まれているUNIXのシェル、bashに見つかった脆弱性だ。

大半のOS Xユーザは、最近報道されたbashの脆弱性のリスクにさらされていない。OS Xに含まれているUNIXのコマンドシェルでコマンド言語でもあるbashには、不正なアクセスをしたユーザがリモートで脆弱なシステムを操作できる弱点がある。OS Xでは、システムはデフォルトで安全であり、ユーザが高度なUNIXサービスを構成していなければbashがリモートで悪用されることはない。われわれは高度なUNIXユーザのためのソフトウェアアップデートを迅速に提供すべく、目下作業中である。

本誌もさきほど、読者のためのShellshock対策をポストした。しかしAppleがここで言っているように、OS Xでは高度なアクセスを構成していなければ安全だ(だから読者のほとんど全員が安全)。Appleは、このセキュリティホールを塞ぐためのOS Xのアップデートをもうすぐ提供するはずだから、それまではUNIXの高度なオプションを有効にしないように。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))