Upgrade to Pro — share decks privately, control downloads, hide ads and more …

コンテナ脆弱性修正をRenovate,Dependabotのように行う / Fix Conta...

Avatar for Akira Kuriyama Akira Kuriyama
September 27, 2024
2
420

コンテナ脆弱性修正をRenovate,Dependabotのように行う / Fix Container vulnerabilities on CICD

Avatar for Akira Kuriyama

Akira Kuriyama

September 27, 2024
Tweet

More Decks by Akira Kuriyama

See All by Akira Kuriyama
Datadog On-Calを本番導入しました / Datadog On-Cal now in production
Avatar for Akira Kuriyama sheepland
0
190
Datadog Logsで実現するオブザーバビリティの向上 / Enhancing Observability with Datadog Logs
Avatar for Akira Kuriyama sheepland
0
130
Docker Build Cloudを導入してコンテナイメージビルド時間を80%削減した話 / Speeding Up Container Builds with Docker Build Cloud
Avatar for Akira Kuriyama sheepland
0
140
Design Doc のすすめ / The Importance of Design Docs
Avatar for Akira Kuriyama sheepland
0
500
Datadogのグラフにデプロイタイミングを表示する / deploy timing on datadog graph
Avatar for Akira Kuriyama sheepland
1
660
英語学習の始め方 / How to start learning English
Avatar for Akira Kuriyama sheepland
0
120

Featured

See All Featured
Product Roadmaps are Hard
Avatar for C. Todd Lombardo iamctodd
PRO
54
11k
Code Reviewing Like a Champion
Avatar for maltzj maltzj
524
40k
Being A Developer After 40
Avatar for Adrian Kosmaczewski akosma
90
590k
Intergalactic Javascript Robots from Outer Space
Avatar for Vicent Martí tanoku
271
27k
Building an army of robots
Avatar for Kyle Neath kneath
306
45k
GraphQLとの向き合い方2022年版
Avatar for Yosuke Kurami quramy
49
14k
The Cost Of JavaScript in 2023
Avatar for Addy Osmani addyosmani
51
8.5k
Done Done
Avatar for chrislema chrislema
184
16k
It's Worth the Effort
Avatar for 3n 3n
185
28k
Designing for humans not robots
Avatar for Tammie Lister tammielis
253
25k
Unsuck your backbone
Avatar for Amy Palamountain ammeep
671
58k
ReactJS: Keep Simple. Everything can be a component!
Avatar for Pedro Nauck pedronauck
667
120k

Transcript

  1. 令和最新版 他人に自慢したいヤバいCI/CD LT会 @yabaibuki.dev #2 Akira Kuriyama (@sheepland) コンテナ脆弱性修正を Renovate/Dependabot

    のように行う

  2. 自己紹介 名前 : 栗山 聖(くりやま あきら) X : @sheepland 職種

    : SRE 所属 : 株式会社スタディスト

  3. 補足 今回の話すコンテナ脆弱性とは、OSのパッケージの脆弱性です。 アプリケーションのパッケージの脆弱性は対象外。

  4. みなさんコンテナ脆弱性修正 しておりますでしょうか? 突然大きな脆弱性が見つかりSNSで話題に。 話題にならなくても日々脆弱性は発見されている。

  5. しかし、修正しようにも面倒ですよね? なにが面倒か • どのコンテナに脆弱性があるのか分からない • どうやって脆弱性を修正していいか分かりづらい • コンテナ再ビルドすればパッケージが更新されるので修正できるが、ビルド キャッシュ効いていると更新されない問題 •

    手動でビルドキャッシュを消すのが面倒 • 脆弱性修正PRという形でPRを出しづらい

  6. なにが面倒か • どのコンテナに脆弱性があるのか分からない • どうやって脆弱性を修正していいか分かりづらい しかし、修正しようにも面倒ですよね? バージョンアップしたいけど バージョン指定してない RUN apt-get

    update && apt-get install -y \ package-bar \ package-baz \ package-foo \ …

  7. しかし、修正しようにも面倒ですよね? なにが面倒か • どのコンテナに脆弱性があるのか分からない • どうやって脆弱性を修正していいか分かりづらい • コンテナ再ビルドすればパッケージが更新されるので修正できるが、 ビルドキャッシュ効いていると更新されない問題 ◦

    手動でビルドキャッシュを消すのが面倒 • 脆弱性修正PRという形でPRを出しづらい

  8. しかし、修正しようにも面倒ですよね? なにが面倒か • どのコンテナに脆弱性があるのか分からない • どうやって脆弱性を修正していいか分かりづらい • コンテナ再ビルドすればパッケージが更新されるので修正できるが、 ビルドキャッシュ効いていると更新されない問題 ◦

    手動でビルドキャッシュを消すのが面倒 • 脆弱性修正PRという形でPRを出しづらい

  9. おれたちはただ、Renovate/Dependabotのように コンテナ脆弱性修正PRをマージするだけで脆弱性を修正 したいだけなんだ…!

  10. 実現しました! 開発者側のフロー 1. Slackに脆弱性通知がくる 2. Slack通知内のPRリンクを開く 3. PRに対して脆弱性スキャンCIやアプリケーションのCIが 通っていることを確認する 4.

    mergeしてリリースする 5. 脆弱性解消! かなりDependabotやRenovateと近しい体験

  11. 実現しました! CI/CD側のフロー 1. CI/CDで毎日最新のイメージに対して脆弱性スキャン 2. 脆弱性が見つかれば脆弱性内容が記載されたGitHubのIssueを自動作成 3. そのIssueに紐付ける形で脆弱性修正PRを自動作成 4. Slackに脆弱性が見つかったことをPRのリンク付きで通知

  12. Slack通知

  13. Pull Request

  14. Issue

  15. ポイントを簡単に説明をします

  16. 脆弱性スキャンについて 脆弱性スキャンにはTrivyを使用しています。 以下のオプションを指定しています。 • vuln-typeオプションでOSパッケージのみを脆弱性スキャン対象に • severityオプションで緊急度の高い脆弱性のみを対象に • ignore-unfixedオプションでパッチが提供済みの脆弱性のみを対象に

  17. FROM node:22 # apt-getでinstallしたパッケージをアップデートする場合は以下のバージョンを上げる RUN echo "package-cache-v1" > /dev/null RUN

    apt-get update && apt-get install -y \ package-bar \ package-baz \ Dockerfileは `RUN`のコマンド内容が変わると以降はキャッシュが使われなくなります。 これを利用して、RUNの内容を更新することでキャッシュが使われないようにしています。 (RUNの内容はなんでもよいです) 脆弱性修正PRについて

  18. 脆弱性修正PRでは、"package-cache-v◦"のv◦の部分の数値を上げる 脆弱性修正PRについて

  19. CIとTrivyを組み合わせて、簡単にコンテナ脆弱性 を修正できる仕組みを作りました! まとめ

  20. 「コンテナイメージ脆弱性検知と対応フローの紹介」 https://studist.tech/container-image-vulnerability-scan-3b8a04a9577 詳しくはテックブログを参照下さい!

  21. ご静聴ありがとうございま した!