Google、コンテナイメージ内のOSの脆弱性を自動発見してくれる「Container Registry vulnerability scanning」をベータ公開

Googleは、Dockerコンテナをビルドしたコンテナイメージをスキャンし、OSの脆弱性を発見してくれる機能「Container Registry vulnerability scanning」をベータ版として公開すると発表しました。

Dockerコンテナはアプリケーションと一緒にカーネル以外のOSが一緒にパッケージングされます。このとき、OSに最新のパッチが適用されていないなどの脆弱性がOSに存在する可能性があります。

万が一脆弱性が残ったままのコンテナイメージがデプロイされると、外部からシステムに対して脆弱性を突かれてしまうことになりかねません。

Container Registry vulnerability scanningはそうした脆弱性を自動的に発見してくれるというものです。下記は同社の記事「Guard against security vulnerabilities in your software supply chain with Container Registry vulnerability scanning」から引用します。

Now, all container images built using Cloud Build, our fully managed CI/CD platform, are automatically scanned for OS package vulnerabilities when images are pushed to Container Registry once the Container Analysis API is enabled.

フルマネージドなCI/CDプラットフォームであるCloud Buildを用いてビルドされるすべてのコンテナイメージは、Container Analysis APIがオンになっていれば、Container Rgesitryへプッシュされるときに自動的にOSの脆弱性があるかどうかがスキャンされます。

また、この脆弱性のスキャンはBinary Authorization機能とも連動しており、認証された安全なバイナリだけがデプロイされるようになっています。

Dockerコンテナを用いたアプリケーション開発では、CI/CDツール（継続的デリバリ／継続的インテグレーションツール）などによって開発からテスト、デプロイまでの作業の自動化が進んでいます。

Container Registry vulnerability scanningは、この自動化されたフローのなかにセキュリティ対策を組み込むことになります。Googleにかぎらず、今後このようなソリューションはCI/CDツールとして標準的なものになっていくことでしょう。