Google、コンテナイメージ内のOSの脆弱性を自動発見してくれる「Container Registry vulnerability scanning」をベータ公開
Googleは、Dockerコンテナをビルドしたコンテナイメージをスキャンし、OSの脆弱性を発見してくれる機能「Container Registry vulnerability scanning」をベータ版として公開すると発表しました。
Dockerコンテナはアプリケーションと一緒にカーネル以外のOSが一緒にパッケージングされます。このとき、OSに最新のパッチが適用されていないなどの脆弱性がOSに存在する可能性があります。
万が一脆弱性が残ったままのコンテナイメージがデプロイされると、外部からシステムに対して脆弱性を突かれてしまうことになりかねません。
Container Registry vulnerability scanningはそうした脆弱性を自動的に発見してくれるというものです。下記は同社の記事「Guard against security vulnerabilities in your software supply chain with Container Registry vulnerability scanning」から引用します。
Now, all container images built using Cloud Build, our fully managed CI/CD platform, are automatically scanned for OS package vulnerabilities when images are pushed to Container Registry once the Container Analysis API is enabled.
フルマネージドなCI/CDプラットフォームであるCloud Buildを用いてビルドされるすべてのコンテナイメージは、Container Analysis APIがオンになっていれば、Container Rgesitryへプッシュされるときに自動的にOSの脆弱性があるかどうかがスキャンされます。
また、この脆弱性のスキャンはBinary Authorization機能とも連動しており、認証された安全なバイナリだけがデプロイされるようになっています。
Dockerコンテナを用いたアプリケーション開発では、CI/CDツール(継続的デリバリ/継続的インテグレーションツール)などによって開発からテスト、デプロイまでの作業の自動化が進んでいます。
Container Registry vulnerability scanningは、この自動化されたフローのなかにセキュリティ対策を組み込むことになります。Googleにかぎらず、今後このようなソリューションはCI/CDツールとして標準的なものになっていくことでしょう。
あわせてお読みください
- Google、DockerコンテナのビルドをREST APIなどで自動化できる「Container Builder」リリース。1日あたり120分のビルド時間まで無料
- Heroku、Dockerイメージをそのままデプロイ可能に。「Heroku Container Registry」をベータ公開
- マイクロソフト、クラウドでコンテナサービスを実現する「Azure Container Service Engine」をオープンソースとして公開
- 米レッドハット、Dockerアプリの認定制度「Red Hat Container Certification」および開発キット、認定アプリのレジストリ「Red Hat Container Registry」など発表
- カテゴリ Docker / コンテナ / 仮想化
- タグ コンテナ型仮想化, セキュリティ
≪前の記事
フルマネージドなRedis、「Google Cloud Memorystore for Redis」が正式版として提供開始
Junichi Niino(jniino)
