Upgrade to Pro — share decks privately, control downloads, hide ads and more …

KubeClarityで始めるSBOM管理 @3-shake SRE Tech Talk / 3-shake-sre-teck-talk-202212

KubeClarityで始めるSBOM管理 @3-shake SRE Tech Talk / 3-shake-sre-teck-talk-202212

Masaya Aoyama (@amsy810)

December 15, 2022
Tweet

More Decks by Masaya Aoyama (@amsy810)

Other Decks in Programming

Transcript

  1. - Co-chair ⻘⼭真也 + CREATIONLINE - 技術アドバイザ + SAKURA Internet

    Research Center – 客員研究員 + 3-shake 技術顧問 + PLAID - Organizer - KaaS Product Owner - Publications Twitter: @amsy810
  2. KubeClarity とは︖ SBOM(Software Bill Of Materials)の⽣成 • Content Analyzer: Syft

    脆弱性スキャン • Vulnerability Scanner: Grype CSI Docker Benchmark のテスト • Banchmarker: Dockle
  3. Syft と Grype による⾼速なスキャン Syft: SBOM を⽣成 Grype: SBOM を利⽤した脆弱性スキャン

    Syft Grype SBOM 脆弱性情報 KubeClarity では PostgreSQL に蓄積 脆弱性スキャンの⾼速化 https://github.com/openclarity/kubeclarity/blob/7f3d166ad4feb0bda931 38e6c4e4fe12b6c360a5/runtime_k8s_scanner/pkg/scanner/scanner.go#L77
  4. KubeClarity におけるデータ • Application: 実⾏されているPod(実際にはDeploymentなどの粒度) • Application Resource: コンテナイメージ •

    Package: 利⽤しているパッケージ(rpm や deb などの OS 系 / npm や gomod などの⾔語系) • Vulnerability: 脆弱性情報 Application (Pod) Application Resource (Container Image) Package (rpm, npm, gomod, etc) Vulnerability (CVE) SBOM
  5. Demo • デプロイした microservice-demo に対する SBOM/脆弱性スキャン 下記にて Web UI を公開しているので、興味のある⽅は触ってみてください

    https://bit.ly/amsy-kc (セッション終了後 30 分程度で削除予定) kubectl apply -f https://raw.githubusercontent.com/GoogleCloudPlatform/microservices-demo/v0.5.0/release/kubernetes-manifests.yaml helm repo add kubeclarity https://openclarity.github.io/kubeclarity helm install --create-namespace kubeclarity kubeclarity/kubeclarity -n kubeclarity --set kubeclarity.service.type=LoadBalancer --version v2.9.0