Upgrade to Pro — share decks privately, control downloads, hide ads and more …

JAWS-UG 朝会 #36 登壇資料

takakuni
August 04, 2022

JAWS-UG 朝会 #36 登壇資料

takakuni

August 04, 2022
Tweet

More Decks by takakuni

Other Decks in Technology

Transcript

  1. 5 なんで流⾏っているの︖ 世は シフトレフト時代 「How Snyk helps satisfy White House

    cybersecurity recommendations」より引⽤ Instance On-premise Server or 開発者の守備範囲が広がって来た。
  2. 6 なんで流⾏っているの︖ 世は シフトレフト時代 「How Snyk helps satisfy White House

    cybersecurity recommendations」より引⽤ Instance On-premise Server or AWS Fargate Amazon ECS Amazon EKS AWS CDK AWS CloudFormation Terraform 開発者の守備範囲が広がって来た。
  3. 7 なんで流⾏っているの︖ 世は シフトレフト時代 開発者の守備範囲が広がって来た。 「How Snyk helps satisfy White

    House cybersecurity recommendations」より引⽤ Instance On-premise Server or AWS Fargate Amazon ECS Amazon EKS AWS CDK AWS CloudFormation Terraform 得意︖
  4. 8 OWASP Top10 「OWASP Top 10 - 2021 へようこそ」より引⽤ A04:2021-安全が確認されない不安な設計

    2021年に新設されたカテゴリーで、設計上の⽋陥に関するリスクに焦点を当てています。 ⼀業界として、我々が純粋に「シフトレフト」することを望むのであれば、脅威モデリングや、安全な 設計パターンと原則、また、リファレンス・アーキテクチャをもっと利⽤していくことが必要です。 安全が確認されない不安な設計は完璧な実装によって修正されることはありません。定義上、(つまり設 計⾃体が問題なので)特定の攻撃に対して必要なセキュリティ対策が作られることがありえないからです。
  5. 10 今⽇話すところ 世は シフトレフト時代 ・コンテナイメージスキャン ※コンテナラインタイムセキュリティは話しません。 「How Snyk helps satisfy

    White House cybersecurity recommendations」より引⽤ Instance On-premise Server or AWS Fargate Amazon ECS Amazon EKS AWS CDK AWS CloudFormation Terraform
  6. 13 ECR イメージスキャン(拡張スキャン) 世は ・Inspectorがサービスロールを使ってスキャン ・ 複数のデータベース(Snyk, GitHub Advisory Databaseなど)を使⽤

    ・⾃動スキャンのみサポート ・(デフォルト)初回Push時 、関連する新しい CVE が公開されたとき ・有料
  7. 17 まとめてみた ベーシックスキャン 拡張スキャン docker scan Docker Hub 脆弱性 データベース

    Clair Snyk, GitHubなど Snyk Snyk スキャン範囲 OSのみ OS, ⾔語パッケージ OS, ⾔語パッケージ OS, ⾔語パッケージ スキャン頻度 ⼿動/⾃動 ⾃動 ⼿動 ⾃動 料⾦ 無料 有料 無料 ※10回/⽉ 有料 ※プランの機能
  8. 18 まとめてみた ベーシックスキャン 拡張スキャン docker scan Docker Hub 脆弱性 データベース

    Clair Snyk, GitHubなど Snyk Snyk スキャン範囲 OSのみ OS, ⾔語パッケージ OS, ⾔語パッケージ OS, ⾔語パッケージ スキャン頻度 ⼿動/⾃動 ⾃動 ⼿動 ⾃動 料⾦ 無料 有料 無料 ※10回/⽉ 有料 ※プランの機能
  9. 22 まとめてみた ベーシックスキャン 拡張スキャン docker scan Docker Hub Snyk Container

    脆弱性 データベース Clair Snyk, GitHubなど Snyk Snyk ︖ スキャン範囲 OSのみ OS ⾔語パッケージ OS ⾔語パッケージ OS ⾔語パッケージ ︖ スキャン頻度 ⼿動/⾃動 ⾃動 ⼿動 ⾃動 ︖ 料⾦ 無料 有料 無料 ※10回/⽉ 有料 ※プランの機能 ︖ New
  10. 23 Snyk Container 世は ・Snyk CLIでローカルスキャン or コンテナレジストリと統合して⾃動スキャン ・ECRと統合する場合はIAMロールを使⽤する ・Snykのデータベースを使⽤

    ・OSに加えてプログラミング⾔語パッケージもスキャン対象 ・「⽇次」や「週次」の定期スキャン、新しい CVE が公開された場合 ・無料と有料プランがある(無料プランは100回/⽉までテスト可能)
  11. 24 まとめてみた ベーシックスキャン 拡張スキャン docker scan Docker Hub Snyk Container

    脆弱性 データベース Clair Snyk, GitHubなど Snyk Snyk Snyk スキャン範囲 OSのみ OS ⾔語パッケージ OS ⾔語パッケージ OS ⾔語パッケージ OS ⾔語パッケージ スキャン頻度 ⼿動/⾃動 ⾃動 ⼿動 ⾃動 ⼿動/⾃動 料⾦ 無料 有料 無料 ※10回/⽉ 有料 ※プランの機能 無料/有料 ※無料100回/⽉
  12. 25 疑問その1 ベーシックスキャン 拡張スキャン docker scan Docker Hub Snyk Container

    脆弱性 データベース Clair Snyk, GitHubなど Snyk Snyk Snyk スキャン範囲 OSのみ OS ⾔語パッケージ OS ⾔語パッケージ OS ⾔語パッケージ OS ⾔語パッケージ スキャン頻度 ⼿動/⾃動 ⾃動 ⼿動 ⾃動 ⼿動/⾃動 料⾦ 無料 有料 無料 ※10回/⽉ 有料 ※プランの機能 無料/有料 ※無料100回/⽉ 🤔 同じデータベース︖
  13. 26 Yes # docker scan コマンド docker scan public.ecr.aws/docker/library/neo4j >

    result_docker.txt # Snyk CLIを使⽤したSnyk Container コマンド snyk container public.ecr.aws/docker/library/neo4j --app-vulns > result_snyk.txt # 差分 diff result_docker.txt result_snyk.txt # 出⼒結果(抜粋) 409a410,411 > Learn more: https://docs.snyk.io/products/snyk-container/getting-around-the- snyk-container-ui/base-image-detection > コマンドで出⼒結果を確認
  14. 27 疑問その2 ベーシックスキャン 拡張スキャン docker scan Docker Hub Snyk Container

    脆弱性 データベース Clair Snyk, GitHubなど Snyk Snyk Snyk スキャン範囲 OSのみ OS ⾔語パッケージ OS ⾔語パッケージ OS ⾔語パッケージ OS ⾔語パッケージ スキャン頻度 ⼿動/⾃動 ⾃動 ⼿動 ⾃動 ⼿動/⾃動 料⾦ 無料 有料 無料 ※10回/⽉ 有料 ※プランの機能 無料/有料 ※無料100回/⽉ 🤔 同じデータベース︖
  15. 30