保護ブロック
Adobe Commerce オンクラウドインフラストラクチャには、特定の状況下で、セキュリティ上の脆弱性を抱えたweb サイトへのアクセスを制限する保護ブロッキング機能があります。 この部分的なブロック方法は、既知のセキュリティ脆弱性の悪用を防ぎます。 古いソフトウェアにはエクスプロイトが含まれていることが多いため、これらのサイトへのアクセスを部分的にブロックすることで、これらのエクスプロイトから保護することが重要です。
保護ブロックの仕組み
Adobe Commerceでは、クラウドインフラストラクチャに一般的にデプロイされているオープンソースのソフトウェアの既知のセキュリティ脆弱性の署名データベースを管理します。 セキュリティチェックは、オープンソースプロジェクトの既知の脆弱性のみを分析します。書き込んだカスタマイズを調べることはできません。
セキュリティスキャンが実行されます。
- 新しいコードをGitにプッシュすると
- 新しい脆弱性がデータベースに追加された場合
アプリケーションで重大な脆弱性が検出された場合、Git プッシュは拒否されます。
実行されるブロックには2つのタイプがあります。
-
ブロックを完了 – 開発web サイト用。
git pushに付随するエラーメッセージには、脆弱性に関する詳細情報が記載されています。 -
部分ブロック – 実稼動web サイト用。このサイトは、ほぼオンライン状態を維持できます。 脆弱性の性質によっては、クエリ文字列、Cookie、その他のヘッダーなどのリクエストの一部がGET リクエストから削除される場合があります。 ログイン、フォーム送信、製品チェックアウトなど、その他のすべてのリクエストは完全にブロックされる場合があります。
ブロック解除は、セキュリティリスクの解決時に自動化されます。 このブロックは、脆弱性を削除するセキュリティアップグレードを適用した直後に削除されます。
保護ブロックからオプトアウト
保護ブロックは、Adobe Commerceをクラウドインフラストラクチャにデプロイするソフトウェアの既知の脆弱性からユーザーを保護するためのものです。
ただし、次の項目を.magento.app.yamlに追加すると、保護ブロックをオプトアウトできます。
preflight:
enabled: false
次のように、特定のチェックを明示的にオプトアウトできます。
preflight:
enabled: true
ignore_rules: [ "drupal:SA-CORE-2014-005" ]