피드로 돌아가기
Docker BlogDocker Blog
Security

VEX 및 Signed SBOM 도입으로 CVE 노이즈 제거 및 취약점 분석 효율 극대화

Docker Hardened Images enhanced vulnerability scanning with Docker and Aikido

Dan Berezin Stelzer2026년 6월 11일5intermediate

Context

Distroless 이미지의 특성상 패키지 매니저와 쉘의 부재로 기존 스캐너의 오탐지(False Positive) 발생 빈도가 높음. 특히 실행 불가능한 코드 경로의 CVE까지 모두 보고되어 엔지니어의 트리아지(Triage) 부하가 임계치에 도달한 상황.

Technical Solution

  • OCI 1.1 Referrer Lookup 및 /opt/docker/sbom/ 경로를 통한 Signed SPDX 2.3 SBOM 추출로 Distroless 파일시스템 인덱싱 한계 극복
  • PURL(Package URL) 기반의 Docker OSV 및 Upstream Advisory Feed 매칭을 통한 컴포넌트 식별 정밀도 향상
  • OpenVEX(Vulnerability Exploitability eXchange) 표준 기반의 Attestation 데이터를 스캔 파이프라인에 오버레이하여 실질적 공격 가능성 판단
  • 'Not Affected' 및 'Fixed' 상태의 VEX 선언문을 통해 비활성 취약점을 자동 필터링하는 Triage 자동화 로직 구현
  • 감사 및 컴플라이언스 대응을 위해 UI에서는 숨기되 백엔드에서는 정당성(Justification)과 이미지 Digest가 포함된 전체 OpenVEX 구문을 보존하는 아키텍처 설계

1. Distroless 이미지 사용 시 패키지 매니저 의존적 스캐너 대신 SBOM 기반 스캐너 도입 검토

2. CVE 리스트의 노이즈를 줄이기 위해 VEX(Vulnerability Exploitability eXchange) 표준 채택 여부 확인

3. 보안 감사(Compliance)를 위해 취약점 제외 사유에 대한 서명된 증명서(Signed Attestation) 관리 체계 마련

원문 읽기