Upgrade to Pro — share decks privately, control downloads, hide ads and more …

KubeClarityで始めるSBOM管理 @3-shake SRE Tech Talk / ...

Masaya Aoyama (@amsy810)
December 15, 2022
Programming
0
860

KubeClarityで始めるSBOM管理 @3-shake SRE Tech Talk / 3-shake-sre-teck-talk-202212

https://3-shake.connpass.com/event/267080/

Masaya Aoyama (@amsy810)

December 15, 2022
Tweet

More Decks by Masaya Aoyama (@amsy810)

See All by Masaya Aoyama (@amsy810)
Cloud Nativeを支える要素技術・プロダクト・プラクティスの歩み / infrastudy-returns-01-amsy810
masayaaoyama
4
610
KubeCon + CloudNativeCon EU 2024 Overview / k8sjp64-kubecon-overview
masayaaoyama
0
190
KubeCon + CloudNativeCon NA 2023 Sessions for Site Reliability Engineers / amsy810-srett08
masayaaoyama
2
640
KubeCon + CloudNativeCon NA 2023 Overview + Recap for Gateway API Cloud Native Community Japan Kickoff meetup / amsy810_cncj1
masayaaoyama
0
1.8k
Kubernetes as a Service の利用者を支える機能 - Platform Engineering Meetup #1 / pfem01-amsy810-k8s
masayaaoyama
1
2.3k
Kubernetes基盤を自律的に支えるController化の実装Tips / forkwell-202303-amsy810-k8s
masayaaoyama
7
3.7k
CyberAgentにおけるKubernetes as a Serviceの歩みと利用者を支える機能 / cainfra01-amsy810-kubernetes
masayaaoyama
3
1.9k
KubeCon + CNCon NA 2022 Overview & Towards Something Better Than CRDs In a Post-Operator World / k8sjp54-kubecon-recap
masayaaoyama
0
910
KubeCon + CloudNativeCon NA 2022 帰国後即日 Recap LT TechFeed Experts Night #7 / techfeed-expert-night-7-amsy810
masayaaoyama
0
500

Other Decks in Programming

See All in Programming
受け取る人から提供する人になるということ
little_rubyist
0
230
Less waste, more joy, and a lot more green: How Quarkus makes Java better
hollycummins
0
100
Laravel や Symfony で手っ取り早く
OpenAPI のドキュメントを作成する
azuki
1
110
Jakarta EE meets AI
ivargrimstad
0
580
Outline View in SwiftUI
1024jp
1
320
ペアーズにおけるAmazon Bedrockを⽤いた障害対応⽀援 ⽣成AIツールの導⼊事例 @ 20241115配信AWSウェビナー登壇
fukubaka0825
6
1.8k
AI時代におけるSRE、
あるいはエンジニアの生存戦略
pyama86
6
1.1k
3 Effective Rules for Using Signals in Angular
manfredsteyer
PRO
0
100
.NET のための通信フレームワーク MagicOnion 入門 / Introduction to MagicOnion
mayuki
1
1.4k
OnlineTestConf: Test Automation Friend or Foe
maaretp
0
100
as(型アサーション)を書く前にできること
marokanatani
9
2.6k
Snowflake x dbtで作るセキュアでアジャイルなデータ基盤
tsoshiro
2
520

Featured

See All Featured
KATA
mclloyd
29
14k
Building a Modern Day 
E-commerce SEO Strategy
aleyda
38
6.9k
Fireside Chat
paigeccino
34
3k
Agile that works and the tools we love
rasmusluckow
327
21k
No one is an island. Learnings from fostering a developers community.
thoeni
19
3k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
131
33k
The Cult of Friendly URLs
andyhume
78
6k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
28
9.1k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
33
1.9k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
25
1.8k
Statistics for Hackers
jakevdp
796
220k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
109
49k

Transcript

  1. Masaya Aoyama CyberAgent KubeClarityͰ࢝ΊΔSBOM؅ཧ 3-shake SRE Tech Talk 2022 ΫϦεϚε௚લձ

    amsy810 @amsy810

  2. - Co-chair ⻘⼭真也 + CREATIONLINE - 技術アドバイザ + SAKURA Internet

    Research Center – 客員研究員 + 3-shake 技術顧問 + PLAID - Organizer - KaaS Product Owner - Publications Twitter: @amsy810

  3. ebpfとWASMに思いを馳せる2022 @TechFeed Conference 2022 https://speakerdeck.com/masayaaoyama/techfeed-conference-2022-ebpf-wasm-amsy810

  4. APIClarity とは Shadow/Zonbie API の検知・OpenAPI specの再構成

  5. APIClarity - architecture HTTP Traffic を外部のバックエンドに 転送する WASM Filter を利⽤

    *2

  6. OpenClarity プロジェクト セキュリティや Observability のための OSS ツール群を開発するプロジェクト Cisco がリード(KubeCon +

    CNCon NA 2022 の Keynote でも紹介)

  7. KubeClarity

  8. KubeClarity とは︖ SBOM(Software Bill Of Materials)の⽣成 • Content Analyzer: Syft

    脆弱性スキャン • Vulnerability Scanner: Grype CSI Docker Benchmark のテスト • Banchmarker: Dockle

  9. KubeClarity のアーキテクチャ イメージ単位で Job を起動し、 SBOMの⽣成と脆弱性スキャンを実施

  10. Syft と Grype による⾼速なスキャン Syft: SBOM を⽣成 Grype: SBOM を利⽤した脆弱性スキャン

    Syft Grype SBOM 脆弱性情報 KubeClarity では PostgreSQL に蓄積 脆弱性スキャンの⾼速化 https://github.com/openclarity/kubeclarity/blob/7f3d166ad4feb0bda931 38e6c4e4fe12b6c360a5/runtime_k8s_scanner/pkg/scanner/scanner.go#L77

  11. KubeClarity におけるデータ • Application: 実⾏されているPod(実際にはDeploymentなどの粒度) • Application Resource: コンテナイメージ •

    Package: 利⽤しているパッケージ(rpm や deb などの OS 系 / npm や gomod などの⾔語系) • Vulnerability: 脆弱性情報 Application (Pod) Application Resource (Container Image) Package (rpm, npm, gomod, etc) Vulnerability (CVE) SBOM

  12. OpenClarity の Web UI

  13. OpenClarity の Web UI

  14. OpenClarity の Web UI

  15. OpenClarity の Web UI

  16. OpenClarity の Web UI

  17. OpenClarity の Web UI

  18. OpenClarity の Web UI

  19. OpenClarity の Web UI

  20. Demo • デプロイした microservice-demo に対する SBOM/脆弱性スキャン 下記にて Web UI を公開しているので、興味のある⽅は触ってみてください

    https://bit.ly/amsy-kc (セッション終了後 30 分程度で削除予定) kubectl apply -f https://raw.githubusercontent.com/GoogleCloudPlatform/microservices-demo/v0.5.0/release/kubernetes-manifests.yaml helm repo add kubeclarity https://openclarity.github.io/kubeclarity helm install --create-namespace kubeclarity kubeclarity/kubeclarity -n kubeclarity --set kubeclarity.service.type=LoadBalancer --version v2.9.0

  21. Thank you for your attention Twitter: @amsy810