「Docker Scout」の一般公開が後押しする「ローカルプラスクラウド」とは：3つのアップデートで企業を支援

Dockerは、オープンソースの「Docker Scan」をイベント駆動型の脆弱性管理システム「Docker Scout」に置き換えるなど、3つのアップデートを実施した。

[Beth Pariseau，TechTarget]

　2023年10月上旬、Dockerは、ソフトウェアサプライチェーンのセキュリティを対象とする「Docker Scout」のGA（一般公開）を皮切りに、同社製品シリーズに3つのアップデートを実施した。Dockerは、開発者のPC以外にも同社製品の魅力を広げるべく行動を起こしている。

Docker Scoutは何ができるのか

　Docker Scoutは、オープンソースユーティリティー「Docker Scan」を、同社独自のイベント駆動型脆弱（ぜいじゃく）性検出システムに置き換えたものだ。同社の「Docker Desktop」、コンテナイメージレジストリ「Docker Hub」、あるいはDockerのCLI（コマンドラインインタフェース）を使用してデプロイできる。コンテナイメージとその依存関係をレイヤー別に整理し、ダッシュボードに表示する。リスクに優先順位が付けられ、開発者に修復のアドバイスが提供される。

　2023年10月上旬に公開されたDocker製品のアップデートには、コンテナイメージビルダーツール「Docker Build」向けの新たなクラウドインフラサポートや「Docker Debug」の公開も含まれていた。Docker Debugは、コンテナ化アプリケーションをデバッグするための言語固有の複数のツールが一元管理されるワークフローにまとめられる。

　Docker Buildのアップデートにより、開発チームはコンテナイメージのビルドをクラウドサーバにオフロードし、パフォーマンスを向上し、開発プロセスの遅れを短縮できるようになる。Dockerの関係者によると、同機能は一般公開時点ではマルチテナント向けだが、短期ロードマップにはエンタープライズ仮想プライベートクラウド向けのサポートも含まれているという。

　この3つのアップデート（特にDocker Build）は、Dockerの開発者ツールの価値をローカルPCから大きく広げようとする同社の包括的な取り組み、つまり同社が「ローカルプラスクラウド」（local plus cloud）と呼ぶ取り組みの一環として行われている。

　米国のエンタープライズテクノロジー企業TheCubeでリードアナリストを務めるロブ・ストレチャイ氏は「同社のツールは開発者のノートPCで使用するツールだと考えられている。ローカルプラスクラウドは、そうした状況を打破するのに役立つ」と述べている。

　Docker Buildのアップデートでは、チームレベルのビルドキャッシュやオフラインサポートも可能になる。Docker Debugにより、開発者がデバッグツールを構成する時間が短縮される。Robust Cloudでフリーランスのアナリストとしても活動するラリー・カルヴァリョ氏によると、これらの機能は全て、自社独自に社内開発者プラットフォームを構築するリソースのないIT部門にとっては特に価値があるという。

　「各企業が独自に取り組むDIYモデルではなく、全てのピースが連携して動作するようテストが済んでいる。DIYモデルでは、各企業が独自のチームを抱え、ライフサイクルツールをデバッグして改善を続ける必要がある。1000人の開発者を抱える巨大企業ではない限り、そんな余裕はない」（カルヴァリョ氏）

ソフトウェアサプライチェーンのセキュリティを徹底的に見直すDocker Scout

　2023年初め、Docker Scoutは「Docker Desktop 4.17」の早期プレビューとして初めてリリースされ、その後、「Docker Desktop 4.18」でアップデートされた。Docker Scoutに早期アクセスしたユーザーによると、開発者チームが既に使用しているツールに問題を招くような変更を加えることなく、ソフトウェアサプライチェーンのセキュリティプラクティスが強化されたという。

　動画ホスティング企業JW Playerでエンジニアリング部門のマネジャーを務めるスチュワート・パウエル氏は「当社のDevOpsチームは、エンジニアリングチームの代わりに、膨大な時間を費やすことなく、パイプライン更新の作業ができた。逆に言えば、エンジニアリングチームが変更を実装する余裕ができるのを何週間も何カ月も待つ必要はなかった。単にDocker Hubにアクセスし、チェックボックスにチェックを入れるだけでDocker Scoutが有効になった」

　パウエル氏によると、JW Playerでは開発者約100人を擁するチームで長年Docker Desktopを利用しており、約300のDocker HubリポジトリにDocker Scoutをデプロイしているという。

　Docker Scanで新たな脆弱性を特定する場合はコンテナイメージ全体をスキャンする必要があった。だが、Docker Scoutではスキャンを繰り返すことなく、新たな脆弱性に自動的にフラグが立てられる。そう語るのは、ソーシャルメディア企業Jodelでシニアバックエンドエンジニアを務めるモハマド・アリ・アラビ氏だ。Jodelでは10人の開発者がDocker Desktopの無償利用枠を利用している。

　アラビ氏によると、Docker Scoutは脆弱性スキャンにモジュール性の高いアプローチも採用しているという。

　「まず、イメージからSBOM（ソフトウェア部品表）が生成される。しかも、その生成には自身が適切だと思える方法を選択できる。ビルドステージでDockerにSBOMを生成させることもできるし、別のツールを使用してSBOMを生成させても構わない。脆弱性を見つけるためにSBOMをチェックする際も、他のツールを選択できる」（アラビ氏）

　Docker Scoutの一般公開時点で脆弱性スキャンとSBOM生成をサポートするツールには、「Sysdig」「JFrog Artifactory」「Amazon Elastic Container Registry（ECR）」「BastionZero」「GitHub」「GitLab」「CircleCI」「Jenkins」などがある。

　一般公開されたバージョンのDocker Scoutでは、プレビューリリースで利用可能だった機能に、セキュリティポリシーの査定、運用環境でのコンテナのSysdigランタイム監視、コンテナレジストリのJFrog ArtifactoryやAmazon ECRのサポート、コードの署名と検証といった新機能が追加されている。

オープンソースではなくなっても、価値を追加するDocker Scout

　Docker Scoutは収益の増加を目的に無償のオープンソースツールを自社独自の商用ツールに置き換えるものだ。制限のない無償オープンソースユーティリティであるDocker Scanは、最大3つのリポジトリをサポートするDocker Scoutの無償枠に置き換えられる。「Docker Scout Team」サブスクリプションの価格は、リポジトリ1つ当たり月額9ドルになる。

　2023年初めの「Free Team」サブスクリプションの廃止など、Dockerの最近の動きは、オープンソースコミュニティーに波紋を広げている。だが、Docker ScanからDocker Scoutへの移行が大きな波及効果をもたらす可能性は低いと業界専門家はみている。

　米IDCでアナリストとして働くケイティ・ノートン氏は「Docker Scanで無料スキャンを実行できるのは1カ月当たり10回までだ。11回からはSnykアカウントを所持していなければならない。このツールがネイティブに統合されることだけを考慮すべきだ。Docker製品を使用していれば、誰でも摩擦なくセキュリティを開発ワークローに統合できる」

　コストを重視する企業には「Trivy」や「Grype」などDocker Scoutに統合できるソフトウェアサプライチェーンセキュリティの無料オープンソースツールの選択肢がたくさんある。Docker Scoutの真の価値は、開発者の既存エクスペリエンスに統合されることだとカルヴァリョ氏は語る。

　「オープンソースから離れてしまうのではない限り、企業は少額を支払ってサブスクリプションを購入し、ベンダーのサポートを受けられるバージョンを入手するだろう。イノベーションに目を向けるのを止めない限り、企業はオープンソースかどうかを懸念することはないだろう」（カルヴァリョ氏）

　Docker Scoutには、無料枠に加えて、無料のローカルイメージ分析もある。Dockerでは、Dockerがサポートするオープンソース発行者にDocker Scoutの無償提供も行っている。イメージの作成者がDockerの商用顧客かどうかにかかわらず、Docker HubでホストされるDocker Official Images（厳選されたDockerリポジトリのセット）にSBOMと署名付き証明書も追加される。

　一方、Dockerの商用顧客であるJW Playerは「Slack」や「Jira」などの既存のデベロッパーツールを通じた通知やアラートがDocker Scoutのロードマップに含まれることを期待していると、パウエル氏は述べている。

Dockerの長期的課題

　Dockerは2019年の分岐点と再編を経て、Docker Desktopの価格変更後の2022年に急成長を遂げ、1年足らずでランレートを1200万ドルから1億ドルに引き上げている。とはいえ、Dockerは成長を長期的に維持することや、クラウドベースのツールに対して競争力を確保する方法について依然疑問点を残しているとストレチャイ氏は語る。

　「私が知る限り、Dockerイメージから開発を始めても、やがてノートPC上での開発が限界を迎え、開発環境をクラウドに移さなければならないときがくる。今回リリースする新機能により、Dockerは『当社が開発環境のクラウド移行を支援する。誰か他人のCI/CD（継続的インテグレーション／継続的デリバリー）プロセスに移動する必要はない』と伝えようとしている」（ストレチャイ氏）

　一方、ストレチャイ氏によると、Dockerの追加機能が、CI/CDの分野で「GitHub Actions」や大手クラウドプロバイダーのサービスにどの程度対抗できるかは、まだ分からないという。

　アラビ氏は「当社のCIパイプラインにはTrivyが含まれている。Trivyがオープンソースで費用が掛からないためだ。Docker ScoutがCI部分にどの程度の価値があるかを判断するにはまだ早すぎる。だが、開発のごく初期段階では、第三者がイメージを選んでリポジトリにプッシュする前にそのイメージをスキャンするのに、Docker Scoutが大きな助けになるだろう」と述べている。