Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Dockerイメージの脆弱性診断をPortus & Clairで

Dockerイメージの脆弱性診断をPortus & Clairで

openSUSE mini Summit 2018 発表資料です。
コンテナイメージの脆弱性診断プラットフォーム Clairを、Portusと連携させてイメージの脆弱性診断を行う機能の紹介です。

hashimotosyuta

June 24, 2018
Tweet

More Decks by hashimotosyuta

Other Decks in Technology

Transcript

  1. Docker イメージのの
    脆弱性診断をを
    Portus & Clair で
    Syuta Hashimoto – openSUSE-ja
    [email protected]

    View Slide

  2. 自己紹介

    View Slide

  3. 3
    橋本 修太
    • 日本 openSUSE ユーザ会のメンバー会のメンバーのメンバー
    (と勝手に名乗って勝手に名乗っていまに名乗っています名乗っています)っています)
    • メーカーさんに名乗っていますお世話になってお世話になっておりまに名乗っていますなってお世話になっております。
    ぷるぷる。
    僕は悪いは悪い悪いい openSUSE ユーザ会のメンバーじゃないよぅ >
    Twitter : syuta@openSUSE-ja
    Facebook : Syuta Hashimoto

    View Slide

  4. 本講演のの
    内容

    View Slide

  5. 5
    Docker イメージの脆弱性診断をの脆弱性診断を脆弱性診断をを
    Portus & Clair で
    • コンテナも脆弱性と無縁も脆弱性と無縁で脆弱性と勝手に名乗って無縁では無いでは悪い無い
    • Portus と勝手に名乗っては悪い?
    • Portus & Clair

    View Slide

  6. コンテナも脆弱性と無縁も脆弱性と無縁で
    脆弱性と勝手に名乗って無縁では無いでは悪い無い

    View Slide

  7. 7
    脆弱性に名乗っていますついて
    ある日、こんなツイートこんなツイートを見かけましたを見かけました。かけました。
    「費用がかかるからとがかかるからと勝手に名乗って脆弱性対策
    をしない企業は、脆弱性を突は悪い、こんなツイート脆弱性を突かれかれ
    て失う資産(費用)う資産(費用)の資産(費用がかかるからと)の事は考えなは悪い考えなえな
    いのだろう資産(費用)のか。」
    (う資産(費用)のろ覚えです、申し訳えです、こんなツイート申し訳ありませんし訳ありません)ありません)

    View Slide

  8. 8
    Docker だって無縁では無いでは悪い無い
    ソフトを見かけましたウェアの持つ脆弱性はの持つ脆弱性は、イつ脆弱性は悪い、こんなツイートイメージの、こんなツイート
    コンテナも脆弱性と無縁と勝手に名乗ってなっても脆弱性と無縁で引き継がれてしまき継がれてしまう継がれてしまうがれてしまう資産(費用)の
    Software A
    脆弱性
    Software A
    脆弱性
    Software A
    脆弱性
    ソフトを見かけましたウェアの持つ脆弱性は イメージの コンテナも脆弱性と無縁

    View Slide

  9. 9
    ソフトを見かけましたウェアの持つ脆弱性はに名乗っています脆弱性が見かけました。付かったらかったら
    CVE に名乗っています登録されるされる
    Software A
    脆弱性
    Software A
    脆弱性
    Software A
    脆弱性
    ソフトを見かけましたウェアの持つ脆弱性は イメージの コンテナも脆弱性と無縁
    CVE データベース

    View Slide

  10. 10
    イメージのに名乗っています脆弱性があるか?
    イメージのが持つ脆弱性は、イっているソフトを見かけましたウェアの持つ脆弱性はが CVE
    に名乗っています登録されるされているかをみればわかる
    Software A
    脆弱性
    Software A
    脆弱性
    Software A
    脆弱性
    ソフトを見かけましたウェアの持つ脆弱性は イメージの コンテナも脆弱性と無縁
    CVE データベース

    View Slide

  11. 11
    と勝手に名乗ってころで
    オフィシャルのの
    Jenkins イメージのの
    ベース OS って
    何かご存知ですかかご存知ですか?存知ですか?ですか?

    View Slide

  12. 12
    答ええ
    debian です

    View Slide

  13. 13
    イメージのは悪い複数のソフトウェアのソフトを見かけましたウェアの持つ脆弱性はを持つ脆弱性は、イつ
    イメージのが持つ脆弱性は、イっているソフトを見かけましたウェアの持つ脆弱性はを把握
    するのは悪い意外と困難と勝手に名乗って困難
    Software A
    Software A
    ソフトを見かけましたウェアの持つ脆弱性は
    イメージの
    JDK
    ミドルのウェアの持つ脆弱性は
    openSUSE
    OS

    View Slide

  14. 14
    イメージのの持つ脆弱性は、イつソフトを見かけましたウェアの持つ脆弱性はを解析
    イメージののも脆弱性と無縁でつソフトを見かけましたウェアの持つ脆弱性はの CVE を
    照合したいしたい
    Software A
    Software A
    ソフトを見かけましたウェアの持つ脆弱性は
    イメージの
    JDK
    ミドルのウェアの持つ脆弱性は
    openSUSE
    OS
    CVE データベース
    ここを直接
    参照したい

    View Slide

  15. 15
    そんな便利ソフトウェアソフトを見かけましたウェアの持つ脆弱性は
    イメージののも脆弱性と無縁でつソフトを見かけましたウェアの持つ脆弱性はを解析し、こんなツイート CVE と勝手に名乗って
    照合したいしてくれるソリューションがあれば・・・
    Software A
    Software A
    ソフトを見かけましたウェアの持つ脆弱性は
    イメージの
    JDK
    ミドルのウェアの持つ脆弱性は
    openSUSE
    OS
    CVE データベース
    ?

    View Slide

  16. 16
    それが Clair
    • CoreOS 社製 Open Source プロジのェクトを見かけました
    • Automatic container vulnerability and
    security scanning for appc and Docker
    ( appc と勝手に名乗って Docker 向けの、自動脆弱けの、こんなツイート自動脆弱性診
    断を)
    • イメージのの持つ脆弱性は、イつレイヤー毎に診断を行うに名乗っています診断をを行うう資産(費用)の

    View Slide

  17. Portus と勝手に名乗っては悪い?

    View Slide

  18. 18
    registry のフロントを見かけましたエンド
    • Docker registry のフロントを見かけましたエンド
    • 権限管理、こんなツイート操作履歴表示、こんなツイート検索機能、こんなツイート等をを
    持つ脆弱性は、イつ
    • GUI に名乗っていますよる直感的操作( Rest も脆弱性と無縁である)
    • オンプレミスで registry を運用がかかるからとする時の強いの強いい
    味方

    View Slide

  19. 19
    Portus のイメージの

    View Slide

  20. 20
    詳しくは拙作スラしくは悪い拙作スライドをどう資産(費用)のぞ
    ・ Portus でプライベートを見かけました Docker レジのストを見かけましたリを作ってみよう資産(費用)の
    https://speakerdeck.com/hashimotosyuta/portusdepuraibetodoc
    kerrezisutoriwozuo-tutemiyou?slide=1
    ・ Portus でプライベートを見かけました Docker レジのストを見かけましたリを作ってみよう資産(費用)の〜設定編〜設定編〜設定編〜
    https://speakerdeck.com/hashimotosyuta/portusdepuraibetodockerrez
    isutoriwozuo-tutemiyou-she-ding-bian?slide=1

    View Slide

  21. Portus
    &
    Clair

    View Slide

  22. 22
    連携するとすると勝手に名乗って CVE が表示される
    「 Security 」列に発見された脆に名乗っています発見かけました。された脆弱性の数のソフトウェアが
    表示される。
    クリックする事は考えなで一覧表示される。

    View Slide

  23. 23
    CVE 一覧と勝手に名乗って詳しくは拙作スラ細
    各 CVE の詳しくは拙作スラ細ページのを
    表示出来るる

    View Slide

  24. まと勝手に名乗ってめ

    View Slide

  25. 25
    Clair で CVE と勝手に名乗っての自動照合したい
    • Clair を使えばイメージのえばイメージのの持つ脆弱性は、イつパッケージのを
    CVE データベースと勝手に名乗って照合したい出来るる
    • Portus と勝手に名乗って Clair を連携するとさせる事は考えなで Portus の
    GUI から簡単確認
    • CVE データベースと勝手に名乗っての照合したいが主なタスクなのなタスクなの
    で、こんなツイート未知ですか?なる脆弱性は悪い発見かけました。出来るない(脆弱性
    の修正もしない)も脆弱性と無縁でしない)

    View Slide

  26. Thank you.
    Join the conversation,
    contribute & have a lot of fun!
    www.opensuse.org

    View Slide

  27. 27
    Have a Lot of Fun, and Join Us At:
    www.opensuse.org

    View Slide

  28. General Disclaimer
    This document is not to be construed as a promise by any participating organisation to develop,
    deliver, or market a product. It is not a commitment to deliver any material, code, or
    functionality, and should not be relied upon in making purchasing decisions. openSUSE makes
    no representations or warranties with respect to the contents of this document, and specifically
    disclaims any express or implied warranties of merchantability or fitness for any particular
    purpose. The development, release, and timing of features or functionality described for
    openSUSE products remains at the sole discretion of openSUSE. Further, openSUSE reserves the
    right to revise this document and to make changes to its content, at any time, without obligation
    to notify any person or entity of such revisions or changes. All openSUSE marks referenced in
    this presentation are trademarks or registered trademarks of SUSE LLC, in the United States and
    other countries. All third-party trademarks are the property of their respective owners.
    License
    This slide deck is licensed under the Creative Commons Attribution-ShareAlike 4.0
    International license. It can be shared and adapted for any purpose (even commercially) as
    long as Attribution is given and any derivative work is distributed under the same license.
    Details can be found at https://creativecommons.org/licenses/by-sa/4.0/
    Credits
    Template
    Richard Brown
    [email protected]
    Design & Inspiration
    openSUSE Design Team
    http://opensuse.github.io/branding-
    guidelines/

    View Slide