コンテナガバナンス

Open Container Initiative コンテナ（一般的には Docker コンテナとして知られています）は、言語に依存しないソフトウェアアプリケーションのパッケージ化方法として非常に人気があり、開発者が複数のツールチェインからの依存関係を組み合わせて包括的なパッケージを作成できるようにしています。Docker コンテナは、複雑なアプリケーションをパッケージ化したり、レガシーテクノロジーを活用したり、Foundry がネイティブでサポートしている言語（Python、Java、R）で利用できないライブラリを統合するのに特に強力です。

コンテナワークフローは、組織に追加のセキュリティリスクをもたらします。コンテナイメージは Foundry の外部で作成され、ソフトウェアの脆弱性を導入および蓄積する可能性があるため、管理者はソフトウェア供給チェーンのコントロールを実装し、定期的に Foundry で実行されているコンテナを監査する責任があります。

これらのリスクを軽減するために、Foundry のコンピューティング基盤は業界をリードするコントロールと厳格なイメージ要件を実装しており、ユーザーが実行できるコンテナワークロードのタイプを制限しています。特に、コンテナイメージは、root 以外の数値ユーザー ID で実行する必要があり、カーネル権限にアクセスしてはいけません。

また、Foundry は、実稼働しているコンテナを追跡し、ソフトウェアの脆弱性を特定するために定期的にアクティブなコンテナをスキャンする管理ツールを提供しています。コントロールパネルの コンテナガバナンス ページでは、管理者が Foundry インストールでのコンテナワークフローの状態を監査し、必要に応じて脆弱性のあるコンテナをリコールすることができます。

コンテナワークフローの有効化

コントロールパネルの コンテナガバナンス ページの 設定 タブでは、リソース管理者がコンテナワークフローを有効または無効にすることができます。デフォルトでは、すべてのコンテナワークフローは無効になっています。すべてのコンテナワークフローには、バックエンド基盤として Rubix エンジンが必要です。Rubix が使用されていない場合、このトグルは無効になります。

脆弱性スキャニング

Foundry は定期的に、アクティブに使用されているユーザーがアップロードした Docker コンテナをスキャンして脆弱性を検出します。エンロールメントに影響を与える脆弱性の概要は、コントロールパネルの コンテナガバナンス ページの 脆弱性 タブで利用可能です。デフォルトでは、Foundry は検出されたコンテナの脆弱性に基づいて何も行動を起こしません。

脆弱性のリコール

コントロールパネルの コンテナガバナンス ページの 脆弱性 タブでは、リソース管理者が個々の脆弱性をリコールまたはリコール解除できます。リコールされた脆弱性に影響を受けるコンテナを使用している Foundry ジョブは強制的に停止されます。同様に、脆弱性をリコール解除することもできます。