コンテナー製品を Azure Marketplace に発行すると、Azure チームはそれを検証して、セキュリティで保護されていることを確認します。 コンテナー製品がいずれかのテストに失敗した場合、発行されません。 問題を説明するエラー メッセージが表示されます。
この記事では、コンテナーの発行中に発生する一般的なエラー メッセージと、関連する解決策について説明します。
脆弱性の失敗
脆弱性とは、悪意のあるアクターが悪意のあるアクションに使用できる、悪用可能なリスクやセキュリティで保護されていないエントリ ポイントです。
Marketplace Container Certification では、クラウド用の MS Defender が使用されます。これは、CVSS v3 スコア (Common Vulnerability Scoring System) に基づいて ACR 内のイメージで脆弱性をスキャンします。 CVSS v3 スコアが 7 以上の脆弱性を持つコンテナー製品はすべてブロックされます。 スコアがさらに低い特定の CVE ID が認定によってブロックされる場合はまれです。 サーティフィケーションは、各脆弱性に対して修復手順を提供して、公開元が修正できるようにしようとします。
また、公開前に画像をスキャンするために、MS Defender またはオープン ソース/有料ソフトウェア (Aqua Security、Qualys Container Security、Quor、Twist Lock など) を使用することもできます。 合格率を高くするには、少なくとも高い重大な脆弱性を削除する必要があります。
これらのツールは、オンラインスキャンに使用できるツールの例にすぎません。 ISV は、脆弱性を識別する限り、他のツールを自由に選択できます。このツールは、(ここに記載されているリストに含まれていない場合でも) 適切です。
手記
共通脆弱性スコアリング システム (CVSS) は、脆弱性の主な特性をキャプチャし、その重大度を反映した数値スコアとそのスコアのテキスト表現を生成する方法を提供します。 その後、数値スコアを定性的表現 (低、中、高、重大など) に変換して、組織が脆弱性管理プロセスを適切に評価して優先順位を付けるのに役立ちます。
手記
まれに、製品に過剰な数の脆弱性があり、すべての結果をサーティフィケーション レポートで共有できない場合があります。 公開する前に、このような製品をスキャンすることをお勧めします。 また、Marketplace パブリッシャー サポート から連絡して、詳細を電子メールで取得することもできます。
マルウェアの失敗
マルウェアまたは悪意のあるソフトウェアは、コンピューター、ネットワーク、またはサーバーに有害なファイルまたはプログラムです。
コンテナー製品を発行する予定の場合は、製品をスキャンしてマルウェアを検出し、マルウェアを含むすべてのファイルを特定し、コンテナー製品を発行する前に削除する必要があります。
既存のコンテナー製品にマルウェアがある場合は、影響を受けるオファーを非推奨または非表示にし、修正プログラムが適用された製品を再発行する必要があります。
関連コンテンツ
- Azure コンテナー オファーの を計画する
- アクティブなマーケットプレースの報酬 を する
- 改善に関する質問やフィードバックがある場合は、パートナー センターサポート にお問い合わせください