Liferay Docker イメージのセキュリティポリシー

DockerHub上のイメージ

このセキュリティポリシーは、LiferayベースのDockerイメージ、およびDocker Hubで公開されているLiferay DXPのDockerイメージに適用されます。

イメージタグに関する注意:LiferayのDockerイメージタグの命名規則については、Liferay DXP Docker Image Tagsをご参照ください。

脆弱性の検出と分類

Liferayは脆弱性を特定し追跡するために、National Vulnerability Database を参照しています。それぞれの脆弱性にはCVSS 3の基本スコアが設定されており、以下の表に基づいて重大度に換算されます。

 

重大度

基本スコアの範囲

なし

0.0

0.1-3.9

4.0-6.9

7.0-8.9

クリティカル

9.0-10.0

詳細については、NVD - Vulnerability Metrics (nist.gov) をご参照ください。

注:Liferay は、未加工の CVSS スコアが別のレベルを示している場合でも、脆弱性の性質やその他の要因に基づいて最終的な重大度を上げたり下げたりする権利を有します。

脆弱性が適切な重大度レベルにマッピングされると、さらに次の3つのカテゴリのいずれかに分類されます。

  1. OS: Linux - この脆弱性は、DockerイメージのLinuxオペレーティングシステムに存在します。

  2. サーブレットコンテナー: Tomcat - 脆弱性は、DockerイメージのTomcatサーブレットコンテナー内にあります。

  3. 製品: Liferay DXP - イメージ上で実行されるLiferay DXP 製品自体に脆弱性があります。

Linuxのセキュリティポリシー

Liferayは、DockerイメージのLinux OSとしてUbuntuを使用しています。 公開される各Dockerイメージには、その時点で利用可能なUbuntuのセキュリティアップデートがすべて含まれています。 新しい脆弱性が確認された場合、Liferayは問題の重大度に基づいてセキュリティアップデートを追加します。

低〜中の重大度

重要度が「低」から「中」の脆弱性は、Dockerイメージで使用されている現在のUbuntuのディストリビューションに対するパッチの利用可能性に基づいて修正されます。

修正の可否は、Ubuntu のセキュリティサイトにて、指定されたCVE (例: CVE-2021-4034 | Ubuntu)について確認することができます。

パッチが利用可能になったら、Liferayサポートに連絡して、問題のDXPイメージのリビルドバージョンをリクエストし、セキュリティフィックで更新してください。

高〜クリティカルの重大度

重要度が「高」から「クリティカル」の脆弱性は、Liferay のセキュリティチームが自動的に検出します。 修正プログラムが利用可能になると、影響を受けるすべてのイメージはリビルドされ、イメージタグに新しいタイムスタンプを付けてDocker Hubに公開されます。

Tomcatのセキュリティポリシー

Tomcatの脆弱性の修正が利用可能になると、Liferayは問題の重大度に基づいて新しいTomcatのリリースに更新します。私たちは、クリティカル、高、中の修正に優先順位をつけます。

このプロセスでは、Liferay DXPが新しいバージョンで問題なく動作することを確認するためのQAテストが必要です。テスト中に何らかのエラーが発生した場合、そのエラーに対処する間、アップグレードは一時停止され、その時点でアップグレードプロセスが再開されます。

すべてのテストに合格したら、新しいTomcatのバージョンは、影響を受けるバージョンの Liferay DXP の次のリリースに適用されます。影響を受ける各バージョンのアップデートを含む新しいDockerイメージが公開される予定です。

Liferay DXPのセキュリティポリシー

Liferay DXP 製品自体のセキュリティ脆弱性については、以下のポリシーに基づいて対応します。

この記事は役に立ちましたか?
3人中2人がこの記事が役に立ったと言っています