Upgrade to Pro — share decks privately, control downloads, hide ads and more …

KubeClarityで始めるSBOM管理 @3-shake SRE Tech Talk / ...

Masaya Aoyama (@amsy810)
December 15, 2022
Programming
0
960

KubeClarityで始めるSBOM管理 @3-shake SRE Tech Talk / 3-shake-sre-teck-talk-202212

https://3-shake.connpass.com/event/267080/

Masaya Aoyama (@amsy810)

December 15, 2022
Tweet

More Decks by Masaya Aoyama (@amsy810)

See All by Masaya Aoyama (@amsy810)
KubeCon + CloudNativeCon NA 2024 Overview at Kubernetes Meetup Tokyo #68 / amsy810_k8sjp68
masayaaoyama
0
380
Cloud Nativeを支える要素技術・プロダクト・プラクティスの歩み / infrastudy-returns-01-amsy810
masayaaoyama
4
710
KubeCon + CloudNativeCon EU 2024 Overview / k8sjp64-kubecon-overview
masayaaoyama
0
290
KubeCon + CloudNativeCon NA 2023 Sessions for Site Reliability Engineers / amsy810-srett08
masayaaoyama
2
730
KubeCon + CloudNativeCon NA 2023 Overview + Recap for Gateway API Cloud Native Community Japan Kickoff meetup / amsy810_cncj1
masayaaoyama
0
1.9k
Kubernetes as a Service の利用者を支える機能 - Platform Engineering Meetup #1 / pfem01-amsy810-k8s
masayaaoyama
1
2.5k
Kubernetes基盤を自律的に支えるController化の実装Tips / forkwell-202303-amsy810-k8s
masayaaoyama
7
3.8k
CyberAgentにおけるKubernetes as a Serviceの歩みと利用者を支える機能 / cainfra01-amsy810-kubernetes
masayaaoyama
3
2.1k
KubeCon + CNCon NA 2022 Overview & Towards Something Better Than CRDs In a Post-Operator World / k8sjp54-kubecon-recap
masayaaoyama
0
960

Other Decks in Programming

See All in Programming
RuboCop: Modularity and AST Insights
koic
1
200
API for docs
soutaro
2
1.1k
サービスクラスのありがたみを発見したときの思い出 #phpcon_odawara
77web
4
640
「影響が少ない」を自分の目でみてみる
o0h
PRO
2
1k
Compose Hot Reload is here, stop re-launching your apps! (Android Makers 2025)
zsmb
1
490
MCP調べてみました! / Exploring MCP
uhzz
2
2.3k
PHPで書いたAPIをGoに書き換えてみた 〜パフォーマンス改善の可能性を探る実験レポート〜
koguuum
0
150
Exit 8 for SwiftUI
ojun9
0
110
メモリウォールを超えて:キャッシュメモリ技術の進歩
kawayu
0
1.9k
AI Coding Agent Enablement - エージェントを自走させよう
yukukotani
14
6k
Java 24まとめ / Java 24 summary
kishida
3
500
Kamal 2 – Get Out of the Cloud
aleksandrov
1
180

Featured

See All Featured
Rebuilding a faster, lazier Slack
samanthasiow
80
8.9k
Done Done
chrislema
183
16k
Speed Design
sergeychernyshev
29
890
Fantastic passwords and where to find them - at NoRuKo
philnash
51
3.1k
The MySQL Ecosystem @ GitHub 2015
samlambert
251
12k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
23
2.6k
Building a Modern Day 
E-commerce SEO Strategy
aleyda
40
7.2k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
45
9.5k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
666
120k
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
5
520
Measuring & Analyzing Core Web Vitals
bluesmoon
7
390
BBQ
matthewcrist
88
9.6k

Transcript

  1. Masaya Aoyama CyberAgent KubeClarityͰ࢝ΊΔSBOM؅ཧ 3-shake SRE Tech Talk 2022 ΫϦεϚε௚લձ

    amsy810 @amsy810

  2. - Co-chair ⻘⼭真也 + CREATIONLINE - 技術アドバイザ + SAKURA Internet

    Research Center – 客員研究員 + 3-shake 技術顧問 + PLAID - Organizer - KaaS Product Owner - Publications Twitter: @amsy810

  3. ebpfとWASMに思いを馳せる2022 @TechFeed Conference 2022 https://speakerdeck.com/masayaaoyama/techfeed-conference-2022-ebpf-wasm-amsy810

  4. APIClarity とは Shadow/Zonbie API の検知・OpenAPI specの再構成

  5. APIClarity - architecture HTTP Traffic を外部のバックエンドに 転送する WASM Filter を利⽤

    *2

  6. OpenClarity プロジェクト セキュリティや Observability のための OSS ツール群を開発するプロジェクト Cisco がリード(KubeCon +

    CNCon NA 2022 の Keynote でも紹介)

  7. KubeClarity

  8. KubeClarity とは︖ SBOM(Software Bill Of Materials)の⽣成 • Content Analyzer: Syft

    脆弱性スキャン • Vulnerability Scanner: Grype CSI Docker Benchmark のテスト • Banchmarker: Dockle

  9. KubeClarity のアーキテクチャ イメージ単位で Job を起動し、 SBOMの⽣成と脆弱性スキャンを実施

  10. Syft と Grype による⾼速なスキャン Syft: SBOM を⽣成 Grype: SBOM を利⽤した脆弱性スキャン

    Syft Grype SBOM 脆弱性情報 KubeClarity では PostgreSQL に蓄積 脆弱性スキャンの⾼速化 https://github.com/openclarity/kubeclarity/blob/7f3d166ad4feb0bda931 38e6c4e4fe12b6c360a5/runtime_k8s_scanner/pkg/scanner/scanner.go#L77

  11. KubeClarity におけるデータ • Application: 実⾏されているPod(実際にはDeploymentなどの粒度) • Application Resource: コンテナイメージ •

    Package: 利⽤しているパッケージ(rpm や deb などの OS 系 / npm や gomod などの⾔語系) • Vulnerability: 脆弱性情報 Application (Pod) Application Resource (Container Image) Package (rpm, npm, gomod, etc) Vulnerability (CVE) SBOM

  12. OpenClarity の Web UI

  13. OpenClarity の Web UI

  14. OpenClarity の Web UI

  15. OpenClarity の Web UI

  16. OpenClarity の Web UI

  17. OpenClarity の Web UI

  18. OpenClarity の Web UI

  19. OpenClarity の Web UI

  20. Demo • デプロイした microservice-demo に対する SBOM/脆弱性スキャン 下記にて Web UI を公開しているので、興味のある⽅は触ってみてください

    https://bit.ly/amsy-kc (セッション終了後 30 分程度で削除予定) kubectl apply -f https://raw.githubusercontent.com/GoogleCloudPlatform/microservices-demo/v0.5.0/release/kubernetes-manifests.yaml helm repo add kubeclarity https://openclarity.github.io/kubeclarity helm install --create-namespace kubeclarity kubeclarity/kubeclarity -n kubeclarity --set kubeclarity.service.type=LoadBalancer --version v2.9.0

  21. Thank you for your attention Twitter: @amsy810