Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
OpenClarityを覗いてみる
Search
kojake_300
January 24, 2025
370
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
OpenClarityを覗いてみる
kojake_300
January 24, 2025
More Decks by kojake_300
See All by kojake_300
actでGithub ActionsのVibe Codingを加速させる
kojake_300
0
190
SRE支援から見えてきたSREの核
kojake_300
3
710
OpenClarityの裏側を知りたい
kojake_300
0
420
【SRE-NEXT 2024】内製化を見据えた効果的なSRE支援のアプローチ / SRE support approach
kojake_300
3
3.7k
eBPFで計装はノーコードの時代へ Grafana Beylaの出来るコト出来ないコト
kojake_300
0
1.5k
オシャレな図を書くために意識していること
kojake_300
0
180
Skaffoldを用いたGKEアプリケーションの CD(Continuous Development)
kojake_300
0
5k
Google Cloud Managed Service for Prometheusでprismaメトリクスを可視化してみた
kojake_300
0
160
Featured
See All Featured
30 Presentation Tips
portentint
PRO
1
350
Neural Spatial Audio Processing for Sound Field Analysis and Control
skoyamalab
0
370
Intergalactic Javascript Robots from Outer Space
tanoku
273
27k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
333
23k
Data-driven link building: lessons from a $708K investment (BrightonSEO talk)
szymonslowik
1
1.2k
WENDY [Excerpt]
tessaabrams
11
38k
Have SEOs Ruined the Internet? - User Awareness of SEO in 2025
akashhashmi
0
390
Building a Scalable Design System with Sketch
lauravandoore
463
34k
Leo the Paperboy
mayatellez
8
1.9k
Un-Boring Meetings
codingconduct
0
340
Darren the Foodie - Storyboard
khoart
PRO
3
3.4k
The Illustrated Guide to Node.js - THAT Conference 2024
reverentgeek
1
410
Transcript
Copyright © 3-shake, Inc. All Rights Reserved. OpenClarityを覗いてみる Copyright ©
3-shake, Inc. All Rights Reserved. 2025/1/24 SRE Tech Talk #11 1
Copyright © 3-shake, Inc. All Rights Reserved. ❏ 某 SIer
で業務系アプリケーションの保守運用や Devops 推進、 金融機関向けのクラウドアプリケーションの保守運用を経験したの ちスリーシェイクにジョイン ❏ 趣味はサウナ、旅行、サッカー観戦(町田ゼルビア推し) ❏ 注文住宅で家を建てるため専ら各所の土地散策で土日が潰れる ❏ 最近Google Cloud資格全冠取得しました! 自己紹介 kojake_300 株式会社スリーシェイク Sreake 事業部 2
Copyright © 3-shake, Inc. All Rights Reserved. OpenClarityはどんなセキュリティツール? 01 3
Copyright © 3-shake, Inc. All Rights Reserved. ソフトウェアサプライチェーンにおけるセキュリティ 4 コーディング
ビルド パッケージング デプロイ 実行 * 静的解析 * 動的解析 * 脆弱性スキャン * クレデンシャル 情報のスキャン * イメージ署名 * 脆弱性スキャン 依存関係 * イメージ署名 * ランタイムセ キュリティ * ランタイムス キャン ソフトウェアを安全に届けるための最新動向 2022
Copyright © 3-shake, Inc. All Rights Reserved. OpenClarityがカバーする領域 5 コーディング
パッケージング デプロイ * クレデンシャル 情報のスキャン * イメージ署名 * 脆弱性スキャン * イメージ署名 * 静的解析 * 動的解析 * 脆弱性スキャン * ランタイムセ キュリティ * ランタイムス キャン ビルド 依存関係 実行 特にココ!
Copyright © 3-shake, Inc. All Rights Reserved. OpenClarityとは 6 •
エージェントレスで様々なセキュリティ脅威を検知するオープンソースツール。 • 元々は OpenClarity プロジェクトとして KubeClarity と VMClarity が開発・運用されていたが、 二つの機能を統合しつつ新しい機能を組み込んだ OpenClarityが 2024/10/12にv1.0.0としてリ リースされた。 • セキュリティ脅威の検知はTrivyなどのOSSを使用しており、OpenClarityはUIでのダッシュボード やレポーティングなど、セキュリティの統合プラットフォームのようなイメージ。 Project announcement: OpenClarity #882 https://openclarity.io/docs/features/#scanning
Copyright © 3-shake, Inc. All Rights Reserved. OpenClarityのランタイムスキャン 7 #
機能 ツール群 2 脆弱性スキャン エクスプロイト取得 3 クレデンシャルスキャン 4 マルウェアスキャン 5 ミスコンフィグレーションスキャン 6 ルートキットスキャン 7 - Grype - Trivy 1 SBOM生成*** - Syft - Windows Registry* - Trivy - Cyclonedx-gomod - Go exploit db - Secrets - ClamAV - YARA - Lynis** - KICS*** - CIS Docker benchmark - Chkrootkit** * : Windowsのみ ** : Linux and MacOSのみ *** : CLIのみ スキャン時に1つ以上のOSSツール を使用します。 出力する際は1つにマージするた め、より漏れのないスキャン結果 を取得することが可能です。
Copyright © 3-shake, Inc. All Rights Reserved. OpenClarityのアーキテクチャ 8 https://openclarity.io/docs/usage/openclarity_stack/
Copyright © 3-shake, Inc. All Rights Reserved. その他の機能 9 •
AWS / Google Cloudといったクラウドプロバイダーで使用しているVMをスキャン可能 • プラグイン機能があり、指定したツールを追加してランタイムスキャンが可能* • AWSに限り、コスト見積もりが可能* * : CLIのみ
Copyright © 3-shake, Inc. All Rights Reserved. OpenClarityでk8sのランタイムスキャンを実施 してみよう 02
10
Copyright © 3-shake, Inc. All Rights Reserved. セットアップ 11 公式ドキュメントの通り
k8s クラスタにインストールする。 https://openclarity.io/docs/getting-started/deploy-kubernetes/#deployment-steps providerはkubernetesを設定します。これによりクラスタ内で動作して いるコンテナのディスカバリとスキャンが可能になります。
Copyright © 3-shake, Inc. All Rights Reserved. ランタイムスキャン 12 New
scan configurationをクリック。
Copyright © 3-shake, Inc. All Rights Reserved. ランタイムスキャン 13 スキャン名とスキャン対象を設定。
スキャン対象はODATA $filterの構文で記載 します。
Copyright © 3-shake, Inc. All Rights Reserved. ランタイムスキャン 14 SBOMとVulnerabilitiesをチェック。
SBOMにチェックをしないとVulnerabilitiesによ る脆弱性スキャンがエラーになります。 また、SBOMにチェックを入れてもSBOMをダウ ンロードする機能はありません。
Copyright © 3-shake, Inc. All Rights Reserved. ランタイムスキャン 15 実行時間はNowを選択。
Copyright © 3-shake, Inc. All Rights Reserved. ランタイムスキャン 16 スキャンジョブを何台起動するかを設定。今回はデフォルトの2。
Copyright © 3-shake, Inc. All Rights Reserved. ランタイムスキャン 17 設定が完了。
Copyright © 3-shake, Inc. All Rights Reserved. ランタイムスキャン 18 しばらくするとスキャンジョブが起動する。
Copyright © 3-shake, Inc. All Rights Reserved. ランタイムスキャン 19 スキャンが完了すると✅マークが表示される。
Copyright © 3-shake, Inc. All Rights Reserved. ランタイムスキャン 20 スキャン結果を確認可能。
アセットに紐づく脆弱性一覧を取得する機能 は現在ありません。 脆弱性一覧から関連する脆弱性に紐づくア セットを確認する必要があります。 https://github.com/openclarity/openclarity/issues/671
Copyright © 3-shake, Inc. All Rights Reserved. ランタイムスキャン 21 スキャン結果を確認可能。
Copyright © 3-shake, Inc. All Rights Reserved. ダッシュボード 22 ダッシュボードで脆弱性数の推移を確認可能。
Copyright © 3-shake, Inc. All Rights Reserved. まとめ 03 23
Copyright © 3-shake, Inc. All Rights Reserved. まとめ 24 •
OpenClarityは複数のスキャンツールを使用し結果をマージして出力するため、より漏れなく情報 量の多いスキャン結果を出力できる。 • 足りない機能が多いものの、若いツールであるため今後の開発に期待。 今回は時間がなくざっくりとした説明 になりましたが、 機会があればよりDeep Diveした内容 で発表します
Copyright © 3-shake, Inc. All Rights Reserved. 25 ご清聴ありがとうございました