Новая интеграция Docker Hardened Images в Mend.io добавляет контекст DHI непосредственно в процессы AppSec. Это позволяет эффективно и быстрее повышать уровень безопасности контейнеров.
В сканировании контейнеров есть проблема избытка второстепенных находок.
Стандартное сканирование любого образа продакшна обычно выявляет тысячи CVE. Команда выполняет их первоначальный анализ, определяет приоритеты, назначает ответственных. А потом выясняется, что подавляющее большинство из них – это уязвимости базового образа, связанные с пакетами, которых приложение никогда не касается и которые оно не может напрямую исправить.
Часы потрачены. Уровень риска не изменился.
Новая интеграция Docker Hardened Images (DHI) в Mend.io создана именно для решения этой проблемы. Она непосредственно подтягивает в платформу Mend сведения Docker на основе VEX и совмещает их с анализом досягаемости Mend.io. Благодаря этому команды получают более четкое понимание того, на каких уязвимостях действительно стоит сосредоточиться.
Практическая ценность Docker Hardened Images
Docker Hardened Images – это минималистичные базовые образы, которые непрерывно патчатся. Они созданы с учетом безопасности цепи снабжения программного обеспечения как базового требования. Каждый базовый образ содержит описание VEX (Vulnerability Exploitability eXchange, обмен уязвимостями). Это данные в формате, пригодном для автоматизированной обработки, показывающие, какие CVE, присутствующие в образе, не эксплуатируемы с учетом фактических способов использования программного обеспечения.
Без VEX сканер не может отличить CVE в пакете, который приложение никогда не использует, от CVE, представляющего реальный риск. Команда также не может этого сделать.
Никаких дополнительных настроек. Мгновенная видимость.
Когда Mend.io сканирует контейнер, построенный на Docker Hardened Image, платформа автоматически определяет базу DHI. Ручные теги и изменения конфигурации не требуются. В интерфейсе Mend пакеты, защищенные DHI, обозначаются отдельной иконкой Docker. Благодаря этому любой в команде сразу видит, какие компоненты относятся к защищенному основанию Docker, а какие – к слою самого приложения.
Два источника контекста – более точная оценка риска
Mend.io использует данные VEX DHI в качестве основного источника Risk Factors. Любой CVE, отмеченный как not_affected, сразу получает более низкий приоритет. Дополнительно механизм анализа досягаемости Mend проверяет, действительно ли уязвимые пути кода в зависимости от приложения вообще вызываются во время выполнения.
В результате команда видит только те уязвимости, которые присутствуют, доступны и эксплуатируются. Все остальное можно массово скрыть. Это потенциально позволяет убрать тысячи CVE без возможности эксплуатации одним действием. Внимание сосредотачивается только на той части находок, которая представляет реальный риск для собственного кода.
Контроль пайплайна в соответствии с реальным риском
Механизм политик в Mend.io позволяет настраивать критерии прохождения сборки так, чтобы они срабатывали только тогда, когда в собственном коде приложения появляются уязвимости с высоким уровнем риска и досягаемые уязвимости. Причиной больше не становится CVE в базовом образе, который Docker уже определил как не эксплуатируемый. Пайплайн продолжает двигаться, а разработчики получают сигналы о проблемах, на которые можно реагировать.
Соответствие требованиям как побочный результат
Для организаций, работающих в рамках SSDF, FedRAMP или подобных фреймворков, Mend.io позволяет экспортировать полный SBOM одним нажатием. При этом сохраняется след аудита деклараций VEX и журналов анализа досягаемости. Доказательства соответствия требованиям становятся естественными результатами стандартного процесса разработки, а не ручной подготовкой перед каждым аудитом.
Тот 1%, который действительно имеет значение
Не стоит тратить часы работы разработчиков на 99% уязвимостей контейнеров, не представляющих реального риска. Отсутствие дополнительных настроек при обнаружении, сочетание фильтрации VEX и анализа досягаемости, автоматизированные патчи базовых образов и экспорт SBOM одним нажатием дают Mend.io и Docker Hardened Images именно тот баланс между обнаружением рисков и отсеиванием лишних находок, которого безопасности контейнеров давно не хватало.
Если вы хотите бесплатно протестировать Mend.io – оставьте свои контактные данные в форме ниже.
