コンテナー製品を Azure Marketplace に発行すると、それが安全であることの確認が Azure チームによって行われます。 コンテナー製品がいずれかのテストに不合格になると、発行されません。 問題を説明するエラー メッセージが表示されます。
この記事では、コンテナーの発行中に発生する一般的なエラー メッセージと、関連する解決策について説明します。
Note
この記事に関する質問または改善のための提案がある場合は、パートナー センターのサポートまでご連絡ください。
脆弱性の失敗
脆弱性とは、悪用を引き起こす可能性のあるリスク、または悪意のあるアクターが悪意のあるアクションに使用する可能性のあるセキュリティで保護されていないエントリ ポイントのことです。
Marketplace Container Certification は、CVSS v3 スコア (一般的な脆弱性スコアリング システム) に基づいて ACR 内の画像をスキャンする MS Defender for cloud を使用します。 CVSS v3 スコアが 7 以上の脆弱性を持つコンテナー製品はすべてブロックされます。 スコアがさらに低い特定の CVE ID が認定によってブロックされる場合はまれです。 認定は、公開元が修正できるように、各脆弱性の修復手順の提供を試みます。
また、MS Defender や、Aqua Security、Qualys Container Security、Clair、Twist Lock などのオープンソース/有料ソフトウェアを使用して、公開前にイメージをスキャンすることもできます。 合格率が高めるにするには、少なくとも高い脆弱性と重大な脆弱性をなくす必要があります。
これらのツールは、オンライン スキャンに使用できるツールのわずかな例にすぎません。 ISV は、脆弱性を識別する限り、他のツールを自由に選択できます。このツールは、(ここに記載されているリストに含まれていない場合でも) 適切です。
Note
一般的な脆弱性スコアリング システム (CVSS) は、脆弱性の主な特性を把握し、その重大度を反映した数値スコアとそのスコアのテキスト表現を生成する方法を提供します。 その後で、数値スコアを定性的表現 (低、中、高、重大など) に変換して、組織が脆弱性管理プロセスを適切に評価して優先順位を付けるため役立てることができます。
Note
まれに、製品に過剰な数の脆弱性があり、すべての結果をサーティフィケーション レポートで共有できない場合があります。 公開する前に、そのような製品をスキャンすることをお勧めします。 また、Marketplace パブリッシャー サポートで連絡して、詳細をメールで入手することもできます。
マルウェアの失敗
マルウェアまたは悪意のあるソフトウェアは、コンピューター、ネットワーク、またはサーバーに有害であるように設計されたファイルまたはプログラムです。
コンテナー製品の発行を予定している場合は、製品をスキャンしてマルウェアを検出し、マルウェアを含むすべてのファイルを特定して、そのコンテナー製品を発行する前にそれらを削除する必要があります。
既存のコンテナー製品にマルウェアがある場合は、影響を受けるオファーを非推奨または非表示にして、修正プログラムが適用された製品を再発行する必要があります。
関連するコンテンツ
- Azure コンテナー オファーを計画する
- マーケットプレースのアクティブな報奨
- 質問や、改善のためのフィードバックがある方は、パートナー センターのサポートにご連絡ください