マイクロサービスでのセキュリティパッチ含めたライブラリ更新のつらみと取り組み / security-jaws-no13-kenjiszk

ϚΠΫϩαʔϏεͰͷηΩϡϦςΟύονؚΊͨ ϥΠϒϥϦߋ৽ͷͭΒΈͱऔΓ૊Έ Security JAWS ʲୈ13ճʳ 'J/$5FDIOPMPHJFT !LFOKJT[L

8IPBN* w 4V[VLJ,FOKJ UXJUUFS!LFOKJT[L w 'J/$5FDIOPMPHJFT w 43&&OHJOFFS w
ϘϧμϦϯά

5PEBZ`T5BMLϥΠϒϥϦߋ৽ #JH#BOH 4NBMM
3FMFBTF 74

4NBMM3FMFBTFͷํ͕ྑ͍ w ηΩϡϦςΟ؍఺͔Β w ੬ऑੑ͸͋Δ೔ಥવ͘Δ w ࠷৽ͷ਺όʔδϣϯʹ͔͠ެࣜύον͕౰ͨΒͳ͍͜ͱ΋ w ৗʹ࠷৽ʹ௥͍ͭ͘ӡ༻Λ͍ͯ͠ͳ͍ͱಠࣗͷύονΛ౰ͯଓ͚Δ͜ͱ ʹͳΔ
w ґଘ͢Δύοέʔδ΋όʔδϣϯ্͛Δඞཁ͕͋ͬͨΓ͢Δ

݁࿦ w ࡉ͔͘όʔδϣϯΛ্͍͖͛ͯ·͠ΐ͏ 4NBMM 3FMFBTFT

໰୊ w ϚΠΫϩαʔϏε͕ݸ͘Β͍͋Δ

ϚΠΫϩαʔϏεͩͱԿ͕ࠔΔʁ

୯७ܭࢉͰճಉ͡࡞ۀΛ͢Δ

ͭͷઐ໳νʔϜͰ͸ରԠͰ͖ͳ͍

αʔϏεؒͷґଘ΋ߟ͑Δඞཁ͕͋Δ

֤νʔϜͷҙࣝ΍εΩϧͷ͹Β͖ͭ

ͭͷ࡞ۀ΋Ε͕શମʹӨڹ͢ΔՄೳੑ

ϝϦοτ΋͋Δ w ن໛͕খ͍͞ͷͰҰͭҰͭͷ࡞ۀྔ͸গͳ͘ͳΔ͜ͱ͕ଟ͍ w νʔϜؒͰ৘ใڞ༗͕Ͱ͖Δ w ৽͍͠ϚΠΫϩαʔϏεͰઌʹ৽͍͠όʔδϣϯΛ࢖͑Δ w ܥશମͱͯ͠͸ΧφϦΞͬΆ͘ͳΔ

ԿΛ͢΂͖͔ʁ wνʔϜؒͰ৘ใΛԣஅతʹγΣΞͭͭ͠ wΈΜͳͰؤுΔ

΍ͬͯΈͨ͜ͱ w࢓૊Έ wՄࢹԽ wࣗಈԽ w։ൃνʔϜͰಠཱͯ͠ରԠͰ͖ΔΑ͏ʹ w૊৫ w༗ࢤͰͷ׆ಈͷࢧԉ wࡇΓతʹ΍Δ wظͷ໨ඪʹೖΕΔ

ՄࢹԽ w ֤ΞϓϦέʔγϣϯͷϥΠϒϥ ϦͷόʔδϣϯΛԣஅͯ͠Մࢹ Խ w ͲͷΞϓϦέʔγϣϯ͕όʔ δϣϯ͕௿͍··์ஔ͞Ε͍ͯ Δ͔ΛҰ໨ྎવʹ w
ఆྫͰνΣοΫ

ࣗಈԽ w $JSDMF$*ͰϥΠϒϥϦͷΞοϓ σʔτͷ1VMM3FRVFTUΛࣗಈͰ ࡞Δ w HJUIVCϢʔβʔ͸EFQFOEBCPU ͕ແྉͰར༻ՄೳʹͳͬͨͷͰ ͦͪΒΛ࢖ͬͯ΋͍͍͔΋͠Ε ͳ͍

֤νʔϜͰಠཱͯ͠ಈ͚ΔΑ͏ʹ w 04ϨΠϠʔҎ্͸%PDLFSpMFͰ؅ཧ͍ͯ͠Δ w ΋ͱ΋ͱ43&νʔϜ͕%PDLFSpMFΛ؅ཧ͍ͯͨ͠ w %PDLFSpMFͷ؅ཧ΋֤։ൃνʔϜʹҠৡ w ֤νʔϜ͕ಠཱͯ͠04Ҏ্ͷϨΠϠʔͷΞοϓσʔτ͕Մೳʹ

༗ࢤͰͷ׆ಈ w ि̍ճɺ༗ࢤͰू·ͬͯߦ͖ಧ͍͍ͯͳ͍ͱ͜ΖΛαϙʔτ͢Δ w %PDLFSpMF $*ͷઃఆ w ϥΠϒϥϦͷΞοϓσʔτ w ݴޠͷόʔδϣϯͷΞοϓσʔτ
w νʔϜʹΑͬͯ͸ϦϦʔεཱ͕ͯࠐΜͰ͍ͨΓ͢Δ͜ͱ͕͋ΔͷͰɺશମ ͰαϙʔτͰ͖Δମ੍͕ग़དྷΔͱྑ͍

ࡇΓతʹ΍Δ

ظͷ໨ඪʹೖΕΔ w ηΩϡϦςΟରԠ͕੾ΕΔόʔδϣϯΛ্͛ΔΑ͏ͳΫϦςΟΧϧͳ৔߹ ʹ͸ɺνʔϜͷظͷ໨ඪʹೖΕͯ૊৫ͱͯ͠ઈରʹରԠ͢Δ

͜ͷ׆ಈʹΑΔ੒Ռ΋ݟ͖͑ͯͨ w ओཁͳΞϓϦέʔγϣϯ͸I Ҏ಺ʹ΄΅ରԠ׬ྃ w ਺೔Ҏ಺ʹ͢΂ͯͷαʔϏεͷ ߋ৽͕׬ྃ

ࠓޙऔΓ૊Έ͍ͨ͜ͱ w 4-0΁ͷ૊ΈࠐΈ w ηΩϡϦςΟӡ༻ୡ੒౓ͷ਺஋Խ w ࡉ͔͘ϥΠϒϥϦΛߋ৽͠ଓ͚ΒΕ͍ͯΔνʔϜ͸ૉ੖Β͍͠ w ϚΠΫϩαʔϏεΛ৽͘͠࡞Δ൑அ࣠ͱͯ͠ͷηΩϡϦςΟୡ੒౓ w
ٯʹɺҰఆϨϕϧͰୡ੒Ͱ͖͍ͯͨΒͪΐͬͱ๯ݥ͍͍ͯ͠

·ͱΊ w ·ͩ·ͩ՝୊͕͋Δ w ׬શʹ֤νʔϜ͕ࣗ૸Ͱ͖͍ͯΔঢ়ଶ·Ͱ͸ߦ͚͍ͯͳ͍ w ضৼΓ໾͕ඞཁ w $*Ͱͷࣗಈߋ৽Λ΋ͬͱਐԽͤͯ͞ɺ2"΋ؚΊͯ΋ͬͱෛ୲͕ͳ͍Α ͏ͳ࢓૊ΈΛ࡞͍͖͍ͬͯͨ
w ϥΠϒϥϦߋ৽εςʔδϯάσϓϩΠΧφϦΞϦϦʔε

マイクロサービスでのセキュリティパッチ含めたライブラリ更新のつらみと取り組み / security-jaws-no13-kenjiszk

マイクロサービスでのセキュリティパッチ含めたライブラリ更新のつらみと取り組み / security-jaws-no13-kenjiszk

Kenji Suzuki

More Decks by Kenji Suzuki

Other Decks in Technology

Featured

Transcript

ϚΠΫϩαʔϏεͰͷηΩϡϦςΟύονؚΊͨ ϥΠϒϥϦߋ৽ͷͭΒΈͱऔΓ૊Έ Security JAWS ʲୈ13ճʳ 'J/$5FDIOPMPHJFT !LFOKJT[L

8IPBN* w 4V[VLJ,FOKJ UXJUUFS!LFOKJT[L w 'J/$5FDIOPMPHJFT w 43&&OHJOFFS w

5PEBZ`T5BMLϥΠϒϥϦߋ৽ #JH#BOH 4NBMM

4NBMM3FMFBTFͷํ͕ྑ͍ w ηΩϡϦςΟ؍఺͔Β w ੬ऑੑ͸͋Δ೔ಥવ͘Δ w ࠷৽ͷ਺όʔδϣϯʹ͔͠ެࣜύον͕౰ͨΒͳ͍͜ͱ΋ w ৗʹ࠷৽ʹ௥͍ͭ͘ӡ༻Λ͍ͯ͠ͳ͍ͱಠࣗͷύονΛ౰ͯଓ͚Δ͜ͱ ʹͳΔ

݁࿦ w ࡉ͔͘όʔδϣϯΛ্͍͖͛ͯ·͠ΐ͏ 4NBMM 3FMFBTFT

໰୊ w ϚΠΫϩαʔϏε͕ݸ͘Β͍͋Δ

ϚΠΫϩαʔϏεͩͱԿ͕ࠔΔʁ

୯७ܭࢉͰճಉ͡࡞ۀΛ͢Δ

ͭͷઐ໳νʔϜͰ͸ରԠͰ͖ͳ͍

αʔϏεؒͷґଘ΋ߟ͑Δඞཁ͕͋Δ

֤νʔϜͷҙࣝ΍εΩϧͷ͹Β͖ͭ

ͭͷ࡞ۀ΋Ε͕શମʹӨڹ͢ΔՄೳੑ

ϝϦοτ΋͋Δ w ن໛͕খ͍͞ͷͰҰͭҰͭͷ࡞ۀྔ͸গͳ͘ͳΔ͜ͱ͕ଟ͍ w νʔϜؒͰ৘ใڞ༗͕Ͱ͖Δ w ৽͍͠ϚΠΫϩαʔϏεͰઌʹ৽͍͠όʔδϣϯΛ࢖͑Δ w ܥશମͱͯ͠͸ΧφϦΞͬΆ͘ͳΔ

ԿΛ͢΂͖͔ʁ wνʔϜؒͰ৘ใΛԣஅతʹγΣΞͭͭ͠ wΈΜͳͰؤுΔ

΍ͬͯΈͨ͜ͱ w࢓૊Έ wՄࢹԽ wࣗಈԽ w։ൃνʔϜͰಠཱͯ͠ରԠͰ͖ΔΑ͏ʹ w૊৫ w༗ࢤͰͷ׆ಈͷࢧԉ wࡇΓతʹ΍Δ wظͷ໨ඪʹೖΕΔ

ՄࢹԽ w ֤ΞϓϦέʔγϣϯͷϥΠϒϥ ϦͷόʔδϣϯΛԣஅͯ͠Մࢹ Խ w ͲͷΞϓϦέʔγϣϯ͕όʔ δϣϯ͕௿͍··์ஔ͞Ε͍ͯ Δ͔ΛҰ໨ྎવʹ w

ࣗಈԽ w $JSDMF$*ͰϥΠϒϥϦͷΞοϓ σʔτͷ1VMM3FRVFTUΛࣗಈͰ ࡞Δ w HJUIVCϢʔβʔ͸EFQFOEBCPU ͕ແྉͰར༻ՄೳʹͳͬͨͷͰ ͦͪΒΛ࢖ͬͯ΋͍͍͔΋͠Ε ͳ͍

֤νʔϜͰಠཱͯ͠ಈ͚ΔΑ͏ʹ w 04ϨΠϠʔҎ্͸%PDLFSpMFͰ؅ཧ͍ͯ͠Δ w ΋ͱ΋ͱ43&νʔϜ͕%PDLFSpMFΛ؅ཧ͍ͯͨ͠ w %PDLFSpMFͷ؅ཧ΋֤։ൃνʔϜʹҠৡ w ֤νʔϜ͕ಠཱͯ͠04Ҏ্ͷϨΠϠʔͷΞοϓσʔτ͕Մೳʹ

༗ࢤͰͷ׆ಈ w ि̍ճɺ༗ࢤͰू·ͬͯߦ͖ಧ͍͍ͯͳ͍ͱ͜ΖΛαϙʔτ͢Δ w %PDLFSpMF $*ͷઃఆ w ϥΠϒϥϦͷΞοϓσʔτ w ݴޠͷόʔδϣϯͷΞοϓσʔτ

ࡇΓతʹ΍Δ

ظͷ໨ඪʹೖΕΔ w ηΩϡϦςΟରԠ͕੾ΕΔόʔδϣϯΛ্͛ΔΑ͏ͳΫϦςΟΧϧͳ৔߹ ʹ͸ɺνʔϜͷظͷ໨ඪʹೖΕͯ૊৫ͱͯ͠ઈରʹରԠ͢Δ

͜ͷ׆ಈʹΑΔ੒Ռ΋ݟ͖͑ͯͨ w ओཁͳΞϓϦέʔγϣϯ͸I Ҏ಺ʹ΄΅ରԠ׬ྃ w ਺೔Ҏ಺ʹ͢΂ͯͷαʔϏεͷ ߋ৽͕׬ྃ

ࠓޙऔΓ૊Έ͍ͨ͜ͱ w 4-0΁ͷ૊ΈࠐΈ w ηΩϡϦςΟӡ༻ୡ੒౓ͷ਺஋Խ w ࡉ͔͘ϥΠϒϥϦΛߋ৽͠ଓ͚ΒΕ͍ͯΔνʔϜ͸ૉ੖Β͍͠ w ϚΠΫϩαʔϏεΛ৽͘͠࡞Δ൑அ࣠ͱͯ͠ͷηΩϡϦςΟୡ੒౓ w

·ͱΊ w ·ͩ·ͩ՝୊͕͋Δ w ׬શʹ֤νʔϜ͕ࣗ૸Ͱ͖͍ͯΔঢ়ଶ·Ͱ͸ߦ͚͍ͯͳ͍ w ضৼΓ໾͕ඞཁ w $*Ͱͷࣗಈߋ৽Λ΋ͬͱਐԽͤͯ͞ɺ2"΋ؚΊͯ΋ͬͱෛ୲͕ͳ͍Α ͏ͳ࢓૊ΈΛ࡞͍͖͍ͬͯͨ

マイクロサービスでのセキュリティパッチ含めた ライブラリ更新のつらみと取り組み / security-jaws-no13-kenjiszk

マイクロサービスでのセキュリティパッチ含めた ライブラリ更新のつらみと取り組み / security-jaws-no13-kenjiszk

More Decks by Kenji Suzuki

Other Decks in Technology

Featured

Transcript

マイクロサービスでのセキュリティパッチ含めたライブラリ更新のつらみと取り組み / security-jaws-no13-kenjiszk

マイクロサービスでのセキュリティパッチ含めたライブラリ更新のつらみと取り組み / security-jaws-no13-kenjiszk