Dockerイメージの基本イメージであるDebianとUbuntu [閉じる]

Question

残念なことに、TrivyはDebianベースのイメージと関連性が低いようです（おそらく、Debianのメタデータはコンピュータが解析できないメッセージに依存しているためです）。最新のDebian 11画像のTrivyスキャンでは、76の脆弱性が発見されました。 76個すべてを見たことはありませんでしたが、最初の数人は悪用できないか、マイナーなものに指定されました。

CVE-2011-3374Debian では修正は不要
CVE-2022-3715未成年者として決定された（で議論された通り）Debian 11.7のbashパッケージの脆弱性CVE-2022-3715を解決するには？)
CVE-2022-0563Debian は脆弱なプログラムを提供しないため、Debian には影響しません。
CVE-2016-2781未成年者に対応
CVE-2017-18018カーネル強化で緩和

最も重要なことは、Trivyが各バイナリパッケージに対してCVEを計算することです。したがって、たとえば、CVE-2022-0563は複数回（bsdutils、、、mount）util-linux計算されます。

Ubuntuでも状況は変わりませんが、提供されたメタデータは展開の最終的な状況をより正確に反映します。CVE-2022-0563Debian と同様に、「脆弱ではない」と表示されます。

セキュリティスキャナの私の経験によれば、役に立つかもしれませんが、方法を理解し、正確な画像を提示するには多くの作業が必要です。他のところで述べたように、DebianとUbuntuはどちらもセキュリティ更新プログラムを受け取ります。

選択したセキュリティ検索ツールで、どの基本画像が最高のスコアを取得するのではなく、どの基本画像が目的に最適なものかによって、使用する基本画像を決定する必要があります。 DebianとUbuntuのデフォルトイメージを切り替える際には互換性の問題がたくさんあるとは思いませんが、結果はコンテナイメージの特定のコンテンツによって異なります。

Answer 1

残念なことに、TrivyはDebianベースのイメージと関連性が低いようです（おそらく、Debianのメタデータはコンピュータが解析できないメッセージに依存しているためです）。最新のDebian 11画像のTrivyスキャンでは、76の脆弱性が発見されました。 76個すべてを見たことはありませんでしたが、最初の数人は悪用できないか、マイナーなものに指定されました。

CVE-2011-3374Debian では修正は不要
CVE-2022-3715未成年者として決定された（で議論された通り）Debian 11.7のbashパッケージの脆弱性CVE-2022-3715を解決するには？)
CVE-2022-0563Debian は脆弱なプログラムを提供しないため、Debian には影響しません。
CVE-2016-2781未成年者に対応
CVE-2017-18018カーネル強化で緩和

最も重要なことは、Trivyが各バイナリパッケージに対してCVEを計算することです。したがって、たとえば、CVE-2022-0563は複数回（bsdutils、、、mount）util-linux計算されます。

Ubuntuでも状況は変わりませんが、提供されたメタデータは展開の最終的な状況をより正確に反映します。CVE-2022-0563Debian と同様に、「脆弱ではない」と表示されます。

セキュリティスキャナの私の経験によれば、役に立つかもしれませんが、方法を理解し、正確な画像を提示するには多くの作業が必要です。他のところで述べたように、DebianとUbuntuはどちらもセキュリティ更新プログラムを受け取ります。

選択したセキュリティ検索ツールで、どの基本画像が最高のスコアを取得するのではなく、どの基本画像が目的に最適なものかによって、使用する基本画像を決定する必要があります。 DebianとUbuntuのデフォルトイメージを切り替える際には互換性の問題がたくさんあるとは思いませんが、結果はコンテナイメージの特定のコンテンツによって異なります。

Dockerイメージの基本イメージであるDebianとUbuntu [閉じる]

ベストアンサー1

おすすめ記事