Docker イメージのの 脆弱性診断をを Portus & Clair で Syuta Hashimoto – openSUSE-ja [email protected]

自己紹介

3 橋本　修太 • 日本 openSUSE ユーザ会のメンバー会のメンバーのメンバー （と勝手に名乗って勝手に名乗っていまに名乗っています名乗っています）っています） • メーカーさんに名乗っていますお世話になってお世話になっておりまに名乗っていますなってお世話になっております。 ぷるぷる。 僕は悪いは悪い悪いい openSUSE ユーザ会のメンバーじゃないよぅ　＞ Twitter : syuta@openSUSE-ja Facebook : Syuta Hashimoto

本講演のの 内容

5 Docker イメージの脆弱性診断をの脆弱性診断を脆弱性診断をを Portus & Clair で • コンテナも脆弱性と無縁も脆弱性と無縁で脆弱性と勝手に名乗って無縁では無いでは悪い無い • Portus と勝手に名乗っては悪い？ • Portus & Clair

コンテナも脆弱性と無縁も脆弱性と無縁で 脆弱性と勝手に名乗って無縁では無いでは悪い無い

7 脆弱性に名乗っていますついて ある日、こんなツイートこんなツイートを見かけましたを見かけました。かけました。 「費用がかかるからとがかかるからと勝手に名乗って脆弱性対策 をしない企業は、脆弱性を突は悪い、こんなツイート脆弱性を突かれかれ て失う資産（費用）う資産（費用）の資産（費用がかかるからと）の事は考えなは悪い考えなえな いのだろう資産（費用）のか。」 （う資産（費用）のろ覚えです、申し訳えです、こんなツイート申し訳ありませんし訳ありません）ありません）

8 Docker だって無縁では無いでは悪い無い ソフトを見かけましたウェアの持つ脆弱性はの持つ脆弱性は、イつ脆弱性は悪い、こんなツイートイメージの、こんなツイート コンテナも脆弱性と無縁と勝手に名乗ってなっても脆弱性と無縁で引き継がれてしまき継がれてしまう継がれてしまうがれてしまう資産（費用）の Software A 脆弱性 Software A 脆弱性 Software A 脆弱性 ソフトを見かけましたウェアの持つ脆弱性は イメージの コンテナも脆弱性と無縁

9 ソフトを見かけましたウェアの持つ脆弱性はに名乗っています脆弱性が見かけました。付かったらかったら CVE に名乗っています登録されるされる Software A 脆弱性 Software A 脆弱性 Software A 脆弱性 ソフトを見かけましたウェアの持つ脆弱性は イメージの コンテナも脆弱性と無縁 CVE データベース

10 イメージのに名乗っています脆弱性があるか？ イメージのが持つ脆弱性は、イっているソフトを見かけましたウェアの持つ脆弱性はが CVE に名乗っています登録されるされているかをみればわかる Software A 脆弱性 Software A 脆弱性 Software A 脆弱性 ソフトを見かけましたウェアの持つ脆弱性は イメージの コンテナも脆弱性と無縁 CVE データベース

11 と勝手に名乗ってころで オフィシャルのの Jenkins イメージのの ベース OS って 何かご存知ですかかご存知ですか？存知ですか？ですか？

12 答ええ debian です

13 イメージのは悪い複数のソフトウェアのソフトを見かけましたウェアの持つ脆弱性はを持つ脆弱性は、イつ イメージのが持つ脆弱性は、イっているソフトを見かけましたウェアの持つ脆弱性はを把握 するのは悪い意外と困難と勝手に名乗って困難 Software A Software A ソフトを見かけましたウェアの持つ脆弱性は イメージの JDK ミドルのウェアの持つ脆弱性は openSUSE OS

14 イメージのの持つ脆弱性は、イつソフトを見かけましたウェアの持つ脆弱性はを解析 イメージののも脆弱性と無縁でつソフトを見かけましたウェアの持つ脆弱性はの CVE を 照合したいしたい Software A Software A ソフトを見かけましたウェアの持つ脆弱性は イメージの JDK ミドルのウェアの持つ脆弱性は openSUSE OS CVE データベース ここを直接 参照したい

15 そんな便利ソフトウェアソフトを見かけましたウェアの持つ脆弱性は イメージののも脆弱性と無縁でつソフトを見かけましたウェアの持つ脆弱性はを解析し、こんなツイート CVE と勝手に名乗って 照合したいしてくれるソリューションがあれば・・・ Software A Software A ソフトを見かけましたウェアの持つ脆弱性は イメージの JDK ミドルのウェアの持つ脆弱性は openSUSE OS CVE データベース ?

16 それが Clair • CoreOS 社製 Open Source プロジのェクトを見かけました • Automatic container vulnerability and security scanning for appc and Docker （ appc と勝手に名乗って Docker 向けの、自動脆弱けの、こんなツイート自動脆弱性診 断を） • イメージのの持つ脆弱性は、イつレイヤー毎に診断を行うに名乗っています診断をを行うう資産（費用）の

Portus と勝手に名乗っては悪い？

18 registry のフロントを見かけましたエンド • Docker registry のフロントを見かけましたエンド • 権限管理、こんなツイート操作履歴表示、こんなツイート検索機能、こんなツイート等をを 持つ脆弱性は、イつ • GUI に名乗っていますよる直感的操作（ Rest も脆弱性と無縁である） • オンプレミスで registry を運用がかかるからとする時の強いの強いい 味方

19 Portus のイメージの

20 詳しくは拙作スラしくは悪い拙作スライドをどう資産（費用）のぞ ・ Portus でプライベートを見かけました Docker レジのストを見かけましたリを作ってみよう資産（費用）の https://speakerdeck.com/hashimotosyuta/portusdepuraibetodoc kerrezisutoriwozuo-tutemiyou?slide=1 ・ Portus でプライベートを見かけました Docker レジのストを見かけましたリを作ってみよう資産（費用）の〜設定編〜設定編〜設定編〜 https://speakerdeck.com/hashimotosyuta/portusdepuraibetodockerrez isutoriwozuo-tutemiyou-she-ding-bian?slide=1

Portus & Clair

22 連携するとすると勝手に名乗って CVE が表示される 「 Security 」列に発見された脆に名乗っています発見かけました。された脆弱性の数のソフトウェアが 表示される。 クリックする事は考えなで一覧表示される。

23 CVE 一覧と勝手に名乗って詳しくは拙作スラ細 各 CVE の詳しくは拙作スラ細ページのを 表示出来るる

まと勝手に名乗ってめ

25 Clair で CVE と勝手に名乗っての自動照合したい • Clair を使えばイメージのえばイメージのの持つ脆弱性は、イつパッケージのを CVE データベースと勝手に名乗って照合したい出来るる • Portus と勝手に名乗って Clair を連携するとさせる事は考えなで Portus の GUI から簡単確認 • CVE データベースと勝手に名乗っての照合したいが主なタスクなのなタスクなの で、こんなツイート未知ですか？なる脆弱性は悪い発見かけました。出来るない（脆弱性 の修正もしない）も脆弱性と無縁でしない）

Thank you. Join the conversation, contribute & have a lot of fun! www.opensuse.org

27 Have a Lot of Fun, and Join Us At: www.opensuse.org

General Disclaimer This document is not to be construed as a promise by any participating organisation to develop, deliver, or market a product. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. openSUSE makes no representations or warranties with respect to the contents of this document, and specifically disclaims any express or implied warranties of merchantability or fitness for any particular purpose. The development, release, and timing of features or functionality described for openSUSE products remains at the sole discretion of openSUSE. Further, openSUSE reserves the right to revise this document and to make changes to its content, at any time, without obligation to notify any person or entity of such revisions or changes. All openSUSE marks referenced in this presentation are trademarks or registered trademarks of SUSE LLC, in the United States and other countries. All third-party trademarks are the property of their respective owners. License This slide deck is licensed under the Creative Commons Attribution-ShareAlike 4.0 International license. It can be shared and adapted for any purpose (even commercially) as long as Attribution is given and any derivative work is distributed under the same license. Details can be found at https://creativecommons.org/licenses/by-sa/4.0/ Credits Template Richard Brown [email protected] Design & Inspiration openSUSE Design Team http://opensuse.github.io/branding- guidelines/