ニュース

GMO Flatt Security、セキュリティリスクを最小化したコンテナイメージを提供する「Takumi Images」

 GMO Flatt Security株式会社は8日、ソフトウェア開発に向けたセキュリティAIエージェントを提供する「Takumi byGMO」において、コンテナ環境の脆弱性パッチを支える新機能「Takumi Images」を提供開始した。

 Takumi Imagesは、含まれる既知の脆弱性が最小化されたコンテナイメージ群を提供する機能。Node.js、Python、Go、curlをはじめとする主要な言語ランタイムやツール群のイメージを、amd64/arm64の両アーキテクチャで提供する。

 各イメージは、シェルやパッケージマネージャを含まない最小構成で構築されており、脆弱性を含有しうるコンポーネントの母数そのものを大幅に削減している。さらに、収録パッケージは常に上流(アップストリーム)の最新バージョンに継続的に追従し、脆弱性パッチを取り込み続けている。

 修正パッチが存在しない脆弱性・影響を受けないと判断した脆弱性についても、根拠を明示したVEX(Vulnerability Exploitability eXchange)として公開し、透明性のある形でトリアージ結果を提供する。

 Takumi Imagesの利用に、ビルドパイプラインや開発フローの大きな変更は必要なく、Dockerfileの「FROM」行を1行書き換えるだけで、含まれる既知の脆弱性が最小化されたベースイメージへ移行できる。以降は新たな脆弱性が公開された場合も、最新のイメージをベースに再ビルドするだけでパッチ適用が完了する。

 また、Takumi Imagesは、公開前にすべてのイメージに対して既知パッケージマルウェアの含有検査を実施し、検査を通過したもののみを提供する。イメージの構築においても、サプライチェーン攻撃への構造的な防御を施している。結果として、Takumi Imagesを利用してパッチ対応を進める限りにおいては、パッチ時のマルウェアの混入やソフトウェアサプライチェーン攻撃に対しても自然に対策できるとしている。

 GMO Flatt Securityでは今後、提供するコンテナイメージの種類を、データベースや言語ランタイム、ミドルウェアを中心にさらに拡充していく。また、CVE ID未採番の脆弱性情報の検出、国際的なコンプライアンス要件への対応などを予定している。