LINEで送る
Pocket

前回はコンテナ脆弱性スキャナ Trivyのお話でしたが!!

[コンテナイメージ脆弱性スキャナ]Trivyをやっと試してみた!

今回はコンテナのイメージセキュリティチェック「Dockle」についてブログします。
ちなみにセキュリティチェックなら「VulsとかTrivyあるけども、何が違うの?」と疑問に思いますが、そもそも用途が違うので、勘違いしないようにしましょう。今回そこらへんも紹介しながらブログしたいと思います。


■Whats Dockle?

https://github.com/goodwithtech/dockle

https://qiita.com/tomoyamachi/items/8e042e4269427bb3b326

ちなみにVuls祭り #5でもLTされてましたので以下ぜひ!

[2019/06/17]Vuls祭り#5で運営委員長とLTしてきました!

例えば、独自で作ったコンテナイメージに無駄なものが入っているとか、信ぴょう性があるのかをチェックして、支援とアドバイスをもらえるOSSとなっています。これは盲者。ちなみに他のセキュリティチェックツールとの比較表が以下になります。

https://github.com/goodwithtech/dockle#checkpoints-comparison

圧倒的にできることが多い!!!インストール方法は以下。


■Install

https://github.com/goodwithtech/dockle#installation

  • homebrew

  • RHEL/CentOS

  • Debian/Ubuntu

  • Windows

  • Use Docker


■Start Check

おー早速怒られてますね。レベルもFATAL WARN INFO SKIP PASS と5段階あるようです。改善方法は以下にまとまっているので参考に。

https://github.com/goodwithtech/dockle#checkpoint-summary


■Continuous Integration (CI)

https://github.com/goodwithtech/dockle#continuous-integration-ci

  • CircleCi

上記だと警告が見つかった場合にCIが失敗するようになっています。.dockleignoreファイル を使って無視も可能。 結果を表示したい場合は --exit-code0 に指定すればOK。


■Authorization for Private Docker Registry

https://github.com/goodwithtech/dockle#authorization-for-private-docker-registry

  • Docker Hub
  • Amazon ECR (Elastic Container Registry)
  • GCR (Google Container Registry)
  • Self Hosted Registry (BasicAuth)

各プライベートDockerレジストリも対応しているので良い!


■まとめ

本番環境でDocker運用している方はTrivyと合わせてコンテナイメージを見直したほうがセキュリティ向上間違いないと感じました。開発環境でもCI使って毎日テストしてイメージ作り直せばセキュリティ担保できるし、エンジニアが対応できる幅も広がりそうです。

面白いので一度使ってみてください!

LINEで送る
Pocket


adachin

1989年生まれのSRE。 ホスティングから大規模なアドテクなどのインフラエンジニアとして携わり、AnsibleやTerraformでのインフラコード化を推進。未経験によるエンジニアのメンターなども実施している。また、「脆弱性スキャナVuls」のOSS活動もしており、自称エバンジェリスト/技術広報/テクニカルサポート/コントリビュータでもある。現在はサービスの信頼性向上、可用性、レイテンシ、パフォーマンス、モニタリング、緊急対応、インフラコード化、リファクタリング、セキュリティ強化、新技術の検証、Docker開発環境の提供、AWSでのインフラ構築、Wordpressによるコーポレートサイトの修正、メンター、分析基盤の運用を担当している。

0件のコメント

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください