Нова інтеграція Docker Hardened Images у Mend.io додає контекст DHI безпосередньо до процесів AppSec. Це дає змогу ефективніше й швидше підвищувати рівень безпеки контейнерів.
У скануванні контейнерів є проблема надлишку другорядних знахідок.
Стандартне сканування будь-якого образу продакшну зазвичай виявляє тисячі CVE. Команда виконує їх первинний аналіз, визначає пріоритети, призначає відповідальних. А потім з’ясовується, що переважна більшість із них – це вразливості базового образу, пов’язані з пакетами, яких застосунок ніколи не торкається і які він не може безпосередньо виправити.
Години витрачено. Рівень ризику не змінився.
Нова інтеграція Docker Hardened Images (DHI) у Mend.io створена саме для розв’язання цієї проблеми. Вона безпосередньо підтягує в платформу Mend відомості Docker на основі VEX і поєднує їх з аналізом досяжності Mend.io. Завдяки цьому команди отримують чіткіше розуміння того, на яких вразливостях справді варто зосередитися.
Практична цінність Docker Hardened Images
Docker Hardened Images – це мінімалістичні базові образи, які безперервно патчаться. Вони створені з урахуванням безпеки ланцюга постачання програмного забезпечення як базової вимоги. Кожен базовий образ містить опис VEX (Vulnerability Exploitability eXchange, обмін вразливостями). Це дані у форматі, придатному для автоматизованої обробки, які показують, які CVE, присутні в образі, не є експлуатованими з огляду на фактичний спосіб використання програмного забезпечення.
Без VEX сканер не може відрізнити CVE у пакеті, якого застосунок ніколи не використовує, від CVE, що становить реальний ризик. Команда також не може зробити цього.
Жодних додаткових налаштувань. Миттєва видимість.
Коли Mend.io сканує контейнер, побудований на Docker Hardened Image, платформа автоматично визначає базу DHI. Ручне тегування та зміни конфігурації не потрібні. В інтерфейсі Mend пакети, захищені DHI, позначаються окремою іконкою Docker. Завдяки цьому будь-хто в команді одразу бачить, які компоненти належать до захищеної основи Docker, а які – до шару самого застосунку.
Два джерела контексту – точніша оцінка ризику
Mend.io використовує дані VEX DHI як основне джерело Risk Factors. Будь-який CVE, позначений як not_affected, одразу отримує нижчий пріоритет. Додатково механізм аналізу досяжності Mend перевіряє, чи справді вразливі шляхи коду в залежностях застосунку взагалі викликаються під час виконання.
У результаті команда бачить лише ті вразливості, які присутні, досяжні та експлуатовані. Усе інше можна масово приховати. Це потенційно дає змогу прибрати тисячі CVE без можливості експлуатації однією дією. Увага зосереджується лише на тій частині знахідок, яка становить реальний ризик для власного коду.
Контроль пайплайна відповідно до реального ризику
Механізм політик у Mend.io дає змогу налаштовувати критерії проходження збірки так, щоб вони спрацьовували лише тоді, коли у власному коді застосунку з’являються вразливості з високим рівнем ризику та досяжні вразливості. Причиною більше не стає CVE у базовому образі, який Docker уже визначив як такий, що не експлуатується. Пайплайн продовжує рухатися, а розробники отримують сигнали про проблеми, на які справді можна реагувати.
Відповідність вимогам як побічний результат
Для організацій, які працюють у межах SSDF, FedRAMP або подібних фреймворків, Mend.io дає змогу експортувати повний SBOM одним натисканням. При цьому зберігається слід аудиту декларацій VEX і журналів аналізу досяжності. Докази відповідності вимогам стають природним результатом стандартного процесу розробки, а не ручною підготовкою перед кожним аудитом.
Той 1%, який справді має значення
Не варто витрачати години роботи розробників на 99% вразливостей контейнерів, які не становлять реального ризику. Відсутність додаткових налаштувань під час виявлення, поєднання фільтрації VEX та аналізу досяжності, автоматизовані патчі базових образів і експорт SBOM одним натисканням дають Mend.io та Docker Hardened Images саме той баланс між виявленням ризиків і відсіюванням зайвих знахідок, якого безпеці контейнерів давно бракувало
Якщо ви бажаєте безкоштовно протестувати Mend.io – залиште свої контактні дані у формі нижче.
