Google、コンテナイメージ内のOSの脆弱性を自動発見してくれる「Container Registry vulnerability scanning」をベータ公開

2018年9月21日


Googleは、Dockerコンテナをビルドしたコンテナイメージをスキャンし、OSの脆弱性を発見してくれる機能「Container Registry vulnerability scanning」をベータ版として公開すると発表しました

Dockerコンテナはアプリケーションと一緒にカーネル以外のOSが一緒にパッケージングされます。このとき、OSに最新のパッチが適用されていないなどの脆弱性がOSに存在する可能性があります。

万が一脆弱性が残ったままのコンテナイメージがデプロイされると、外部からシステムに対して脆弱性を突かれてしまうことになりかねません。

Container Registry vulnerability scanningはそうした脆弱性を自動的に発見してくれるというものです。下記は同社の記事「Guard against security vulnerabilities in your software supply chain with Container Registry vulnerability scanning」から引用します。

Now, all container images built using Cloud Build, our fully managed CI/CD platform, are automatically scanned for OS package vulnerabilities when images are pushed to Container Registry once the Container Analysis API is enabled.

フルマネージドなCI/CDプラットフォームであるCloud Buildを用いてビルドされるすべてのコンテナイメージは、Container Analysis APIがオンになっていれば、Container Rgesitryへプッシュされるときに自動的にOSの脆弱性があるかどうかがスキャンされます。

また、この脆弱性のスキャンはBinary Authorization機能とも連動しており、認証された安全なバイナリだけがデプロイされるようになっています。

Dockerコンテナを用いたアプリケーション開発では、CI/CDツール(継続的デリバリ/継続的インテグレーションツール)などによって開発からテスト、デプロイまでの作業の自動化が進んでいます。

Container Registry vulnerability scanningは、この自動化されたフローのなかにセキュリティ対策を組み込むことになります。Googleにかぎらず、今後このようなソリューションはCI/CDツールとして標準的なものになっていくことでしょう。

このエントリーをはてなブックマークに追加
follow us in feedly


≫次の記事
[速報]マイクロソフト、アドビ、SAPが提携「Open Data Initiative」発表。データモデルを統一して3社横断のデータ分析や連係が可能に。Microsoft Ignite 2018

≪前の記事
フルマネージドなRedis、「Google Cloud Memorystore for Redis」が正式版として提供開始


カテゴリ



Blogger in Chief

photo of jniino Junichi Niino(jniino)
IT系の雑誌編集者、オンラインメディア発行人を経て独立。2009年にPublickeyを開始しました。
詳しいプロフィール

Publickeyの新着情報をチェックしませんか?
Twitterで : @Publickey
Facebookで : Publickeyのページ
RSSリーダーで : Feed



新着記事 10本


PR - Books


fig

fig

fig