Google、コンテナイメージ内のOSの脆弱性を自動発見してくれる「Container Registry vulnerability scanning」をベータ公開

2018年9月21日

Googleは、Dockerコンテナをビルドしたコンテナイメージをスキャンし、OSの脆弱性を発見してくれる機能「Container Registry vulnerability scanning」をベータ版として公開すると発表しました

Dockerコンテナはアプリケーションと一緒にカーネル以外のOSが一緒にパッケージングされます。このとき、OSに最新のパッチが適用されていないなどの脆弱性がOSに存在する可能性があります。

万が一脆弱性が残ったままのコンテナイメージがデプロイされると、外部からシステムに対して脆弱性を突かれてしまうことになりかねません。

Container Registry vulnerability scanningはそうした脆弱性を自動的に発見してくれるというものです。下記は同社の記事「Guard against security vulnerabilities in your software supply chain with Container Registry vulnerability scanning」から引用します。

Now, all container images built using Cloud Build, our fully managed CI/CD platform, are automatically scanned for OS package vulnerabilities when images are pushed to Container Registry once the Container Analysis API is enabled.

フルマネージドなCI/CDプラットフォームであるCloud Buildを用いてビルドされるすべてのコンテナイメージは、Container Analysis APIがオンになっていれば、Container Rgesitryへプッシュされるときに自動的にOSの脆弱性があるかどうかがスキャンされます。

また、この脆弱性のスキャンはBinary Authorization機能とも連動しており、認証された安全なバイナリだけがデプロイされるようになっています。

Dockerコンテナを用いたアプリケーション開発では、CI/CDツール(継続的デリバリ/継続的インテグレーションツール)などによって開発からテスト、デプロイまでの作業の自動化が進んでいます。

Container Registry vulnerability scanningは、この自動化されたフローのなかにセキュリティ対策を組み込むことになります。Googleにかぎらず、今後このようなソリューションはCI/CDツールとして標準的なものになっていくことでしょう。

Tags: コンテナ型仮想化 セキュリティ

このエントリーをはてなブックマークに追加
ツイート
follow us in feedly





タグクラウド

クラウド / AWS / Azure / Google Cloud
コンテナ / Docker / Kubernetes
クラウドネイティブ / サーバレス
クラウド障害 / 運用・監視

プログラミング言語 / 開発ツール
JavaScript / Java / .NET / WebAssembly
HTML/CSS / Web標準

アジャイル開発 / スクラム / DevOps / CI/CD
ソフトウェアテスト・品質
ローコード/ノーコード開発

データベース / RDB / NoSQL / 機械学習・AI
Oracle Database / MySQL / PostgreSQL
Office / 業務アプリケーション

ネットワーク / HTTP / QUIC / セキュリティ
OS / Windows / Linux / VMware
ハードウェア / サーバ / ストレージ

業界動向 / 働き方 / 給与・年収
編集後記 / 殿堂入り / おもしろ

全てのタグを見る

Blogger in Chief

photo of jniino

Junichi Niino(jniino)
IT系の雑誌編集者、オンラインメディア発行人を経て独立。2009年にPublickeyを開始しました。
詳しいプロフィール

Publickeyの新着情報をチェックしませんか?
Twitterで : @Publickey
Facebookで : Publickeyのページ
RSSリーダーで : Feed

最新記事10本