保護ブロック
クラウドインフラストラクチャー上のAdobe Commerceには、特定の状況下でセキュリティの脆弱性がある web サイトへのアクセスを制限する保護ブロック機能があります。 この部分的なブロック方法は、既知のセキュリティ脆弱性の悪用を防ぎます。 古いソフトウェアには多くの場合、悪用が含まれているので、これらのサイトへのアクセスを部分的にブロックすることで、これらの悪用から保護することが重要です。
保護ブロックの仕組み
Adobe Commerceは、クラウドインフラストラクチャに一般的にデプロイされるオープンソースソフトウェアの既知のセキュリティ脆弱性のシグネチャのデータベースを管理します。 セキュリティチェックは、オープンソースプロジェクトの既知の脆弱性のみを分析します。記述したカスタマイズを調査することはできません。
セキュリティ スキャンの実行:
- 新しいコードを Git にプッシュする場合
- 新しい脆弱性がデータベースに追加された場合
アプリケーションで重大な脆弱性が検出されると、Git のプッシュは拒否されます。
実行されるブロックには、次の 2 種類があります。
-
完全ブロック – 開発用 Web サイト用。
git pushに伴うエラーメッセージは、脆弱性に関する詳細情報を提供します。 -
部分ブロック – 実稼動 web サイト用。サイトをほぼオンラインのままにできます。 脆弱性の性質に応じて、クエリ文字列、cookie、追加のヘッダーなど、リクエストの一部がGETリクエストから削除される場合があります。 その他のリクエストはすべて、ログイン、フォーム送信、製品のチェックアウトなど、完全にブロックされる場合があります。
ブロック解除は、セキュリティリスクの解決時に自動的に行われます。 脆弱性を削除するセキュリティアップグレードを適用すると、ブロックはすぐに削除されます。
保護ブロックのオプトアウト
防御ブロックは、クラウドインフラストラクチャにAdobe Commerceをデプロイするソフトウェアの既知の脆弱性から保護するためのものです。
ただし、次のコードを .magento.app.yaml に追加することで、保護ブロックをオプトアウトできます。
preflight:
enabled: false
次の例のように、特定のチェックを明示的にオプトアウトできます。
preflight:
enabled: true
ignore_rules: [ "drupal:SA-CORE-2014-005" ]