Upgrade to Pro — share decks privately, control downloads, hide ads and more …

KubeClarityで始めるSBOM管理 @3-shake SRE Tech Talk / 3-shake-sre-teck-talk-202212

Masaya Aoyama (@amsy810)
December 15, 2022
Programming
0
380

KubeClarityで始めるSBOM管理 @3-shake SRE Tech Talk / 3-shake-sre-teck-talk-202212

https://3-shake.connpass.com/event/267080/

Masaya Aoyama (@amsy810)

December 15, 2022
Tweet

More Decks by Masaya Aoyama (@amsy810)

See All by Masaya Aoyama (@amsy810)
Kubernetes as a Service の利用者を支える機能 - Platform Engineering Meetup #1 / pfem01-amsy810-k8s
masayaaoyama
0
1.1k
Kubernetes基盤を自律的に支えるController化の実装Tips / forkwell-202303-amsy810-k8s
masayaaoyama
5
2.8k
CyberAgentにおけるKubernetes as a Serviceの歩みと利用者を支える機能 / cainfra01-amsy810-kubernetes
masayaaoyama
1
820
KubeCon + CNCon NA 2022 Overview & Towards Something Better Than CRDs In a Post-Operator World / k8sjp54-kubecon-recap
masayaaoyama
0
690
KubeCon + CloudNativeCon NA 2022 帰国後即日 Recap LT TechFeed Experts Night #7 / techfeed-expert-night-7-amsy810
masayaaoyama
0
360
Kubernetesクラスタ内のリソースに 柔軟なフィルタリングをかける方法 3-shake SRE Tech Talk #4 LT / SRETT4-LT-amsy810
masayaaoyama
0
210
KubeCon + CloudNativeCon EU 2022 Recap Kubernetes Meetup Tokyo #51 / k8sjp51-kubecon-eu-2022-recap
masayaaoyama
0
260
ebpfとWASMに思いを馳せる2022 / techfeed-conference-2022-ebpf-wasm-amsy810
masayaaoyama
1
1.3k
Kubernetes基盤における運用フローのController化と継続的な改善 / kubernetes-controller-improvements
masayaaoyama
13
3.2k

Other Decks in Programming

See All in Programming
ふんわり使うPlantUML
suzuki
0
240
グローバル開発コラボレーション
onoder
0
100
結合テストの自動化にQAはどうかかわっていったか
nagworld
0
230
Babylon.js書籍出版の裏側。ツイートから始まった奇跡の1年を振り返る
iwaken71
0
120
タクシーアプリ『GO』にLive Activitiesを入れてみた / MoT TechTalk #17
mot_techtalk
0
130
Honoの3+1のルーターとそこにつながるPRがプロジェクトにもたらしたもの
usualoma
1
920
パフォーマンスを改善せよ!大規模システム改修の仕事の進め方 / Improve performance with Big project for PHPerKaigi 2023
taclose
0
650
改めて整理するWebアプリのビルド・デプロイの基本【コンテナ編】
os1ma
2
330
prototype大全 / YAPC::Kyoto 2023
utgwkk
0
1.1k
Taming a Large Android Project
dicoding
0
430
ゴーファーくんと学ぶGo言語の世界/golang-world-with-gopher
iwasiman
2
560
Larastan に自作 OSS ライブラリのテストをぶっ壊された話
mpyw
0
150

Featured

See All Featured
Unsuck your backbone
ammeep
660
56k
No one is an island. Learnings from fostering a developers community.
thoeni
12
1.6k
Build your cross-platform service in a week with App Engine
jlugia
221
17k
Why Our Code Smells
bkeepers
PRO
326
55k
Keith and Marios Guide to Fast Websites
keithpitt
407
21k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
31
9k
A Modern Web Designer's Workflow
chriscoyier
689
180k
Visualization
eitanlees
129
12k
Building an army of robots
kneath
300
41k
Principles of Awesome APIs and How to Build Them.
keavy
118
16k
WebSockets: Embracing the real-time Web
robhawkes
58
6.1k
From Idea to $5000 a Month in 5 Months
shpigford
374
44k

Transcript

  1. Masaya Aoyama
    CyberAgent
    KubeClarityͰ࢝ΊΔSBOM؅ཧ
    3-shake SRE Tech Talk 2022 ΫϦεϚε௚લձ
    amsy810 @amsy810

    View Slide

  2. - Co-chair
    ⻘⼭真也
    + CREATIONLINE - 技術アドバイザ
    + SAKURA Internet Research Center – 客員研究員
    + 3-shake 技術顧問
    + PLAID
    - Organizer
    - KaaS Product Owner - Publications
    Twitter: @amsy810

    View Slide

  3. ebpfとWASMに思いを馳せる2022 @TechFeed Conference 2022
    https://speakerdeck.com/masayaaoyama/techfeed-conference-2022-ebpf-wasm-amsy810

    View Slide

  4. APIClarity とは
    Shadow/Zonbie API の検知・OpenAPI specの再構成

    View Slide

  5. APIClarity - architecture
    HTTP Traffic を外部のバックエンドに
    転送する WASM Filter を利⽤ *2

    View Slide

  6. OpenClarity プロジェクト
    セキュリティや Observability のための OSS ツール群を開発するプロジェクト
    Cisco がリード(KubeCon + CNCon NA 2022 の Keynote でも紹介)

    View Slide

  7. KubeClarity

    View Slide

  8. KubeClarity とは︖
    SBOM(Software Bill Of Materials)の⽣成
    • Content Analyzer: Syft
    脆弱性スキャン
    • Vulnerability Scanner: Grype
    CSI Docker Benchmark のテスト
    • Banchmarker: Dockle

    View Slide

  9. KubeClarity のアーキテクチャ
    イメージ単位で Job を起動し、
    SBOMの⽣成と脆弱性スキャンを実施

    View Slide

  10. Syft と Grype による⾼速なスキャン
    Syft: SBOM を⽣成
    Grype: SBOM を利⽤した脆弱性スキャン
    Syft Grype
    SBOM
    脆弱性情報
    KubeClarity では PostgreSQL に蓄積
    脆弱性スキャンの⾼速化
    https://github.com/openclarity/kubeclarity/blob/7f3d166ad4feb0bda931
    38e6c4e4fe12b6c360a5/runtime_k8s_scanner/pkg/scanner/scanner.go#L77

    View Slide

  11. KubeClarity におけるデータ
    • Application: 実⾏されているPod(実際にはDeploymentなどの粒度)
    • Application Resource: コンテナイメージ
    • Package: 利⽤しているパッケージ(rpm や deb などの OS 系 / npm や gomod などの⾔語系)
    • Vulnerability: 脆弱性情報
    Application
    (Pod)
    Application Resource
    (Container Image)
    Package
    (rpm, npm, gomod, etc)
    Vulnerability (CVE)
    SBOM

    View Slide

  12. OpenClarity の Web UI

    View Slide

  13. OpenClarity の Web UI

    View Slide

  14. OpenClarity の Web UI

    View Slide

  15. OpenClarity の Web UI

    View Slide

  16. OpenClarity の Web UI

    View Slide

  17. OpenClarity の Web UI

    View Slide

  18. OpenClarity の Web UI

    View Slide

  19. OpenClarity の Web UI

    View Slide

  20. Demo
    • デプロイした microservice-demo に対する SBOM/脆弱性スキャン
    下記にて Web UI を公開しているので、興味のある⽅は触ってみてください
    https://bit.ly/amsy-kc
    (セッション終了後 30 分程度で削除予定)
    kubectl apply -f https://raw.githubusercontent.com/GoogleCloudPlatform/microservices-demo/v0.5.0/release/kubernetes-manifests.yaml
    helm repo add kubeclarity https://openclarity.github.io/kubeclarity
    helm install --create-namespace kubeclarity kubeclarity/kubeclarity -n kubeclarity --set kubeclarity.service.type=LoadBalancer --version v2.9.0

    View Slide

  21. Thank you for your attention
    Twitter: @amsy810

    View Slide