KubeClarityで始めるSBOM管理 @3-shake SRE Tech Talk / 3-shake-sre-teck-talk-202212

Masaya Aoyama CyberAgent KubeClarityͰ࢝ΊΔSBOM؅ཧ 3-shake SRE Tech Talk 2022 ΫϦεϚε௚લձ
amsy810 @amsy810

- Co-chair ⻘⼭真也 + CREATIONLINE - 技術アドバイザ + SAKURA Internet
Research Center – 客員研究員 + 3-shake 技術顧問 + PLAID - Organizer - KaaS Product Owner - Publications Twitter: @amsy810

ebpfとWASMに思いを馳せる2022 @TechFeed Conference 2022 https://speakerdeck.com/masayaaoyama/techfeed-conference-2022-ebpf-wasm-amsy810

APIClarity とは Shadow/Zonbie API の検知・OpenAPI specの再構成

APIClarity - architecture HTTP Traffic を外部のバックエンドに転送する WASM Filter を利⽤
*2

OpenClarity プロジェクトセキュリティや Observability のための OSS ツール群を開発するプロジェクト Cisco がリード（KubeCon +
CNCon NA 2022 の Keynote でも紹介）

KubeClarity

KubeClarity とは︖ SBOM（Software Bill Of Materials）の⽣成 • Content Analyzer: Syft
脆弱性スキャン • Vulnerability Scanner: Grype CSI Docker Benchmark のテスト • Banchmarker: Dockle

KubeClarity のアーキテクチャイメージ単位で Job を起動し、 SBOMの⽣成と脆弱性スキャンを実施

Syft と Grype による⾼速なスキャン Syft: SBOM を⽣成 Grype: SBOM を利⽤した脆弱性スキャン
Syft Grype SBOM 脆弱性情報 KubeClarity では PostgreSQL に蓄積脆弱性スキャンの⾼速化 https://github.com/openclarity/kubeclarity/blob/7f3d166ad4feb0bda931 38e6c4e4fe12b6c360a5/runtime_k8s_scanner/pkg/scanner/scanner.go#L77

KubeClarity におけるデータ • Application: 実⾏されているPod（実際にはDeploymentなどの粒度） • Application Resource: コンテナイメージ •
Package: 利⽤しているパッケージ（rpm や deb などの OS 系 / npm や gomod などの⾔語系） • Vulnerability: 脆弱性情報 Application (Pod) Application Resource (Container Image) Package (rpm, npm, gomod, etc) Vulnerability (CVE) SBOM

OpenClarity の Web UI

Demo • デプロイした microservice-demo に対する SBOM/脆弱性スキャン下記にて Web UI を公開しているので、興味のある⽅は触ってみてください
https://bit.ly/amsy-kc （セッション終了後 30 分程度で削除予定） kubectl apply -f https://raw.githubusercontent.com/GoogleCloudPlatform/microservices-demo/v0.5.0/release/kubernetes-manifests.yaml helm repo add kubeclarity https://openclarity.github.io/kubeclarity helm install --create-namespace kubeclarity kubeclarity/kubeclarity -n kubeclarity --set kubeclarity.service.type=LoadBalancer --version v2.9.0

Thank you for your attention Twitter: @amsy810

KubeClarityで始めるSBOM管理 @3-shake SRE Tech Talk / ...

KubeClarityで始めるSBOM管理 @3-shake SRE Tech Talk / 3-shake-sre-teck-talk-202212

Masaya Aoyama (@amsy810)

More Decks by Masaya Aoyama (@amsy810)

Other Decks in Programming

Featured

Transcript

Masaya Aoyama CyberAgent KubeClarityͰ࢝ΊΔSBOM؅ཧ 3-shake SRE Tech Talk 2022 ΫϦεϚε௚લձ

- Co-chair ⻘⼭真也 + CREATIONLINE - 技術アドバイザ + SAKURA Internet

ebpfとWASMに思いを馳せる2022 @TechFeed Conference 2022 https://speakerdeck.com/masayaaoyama/techfeed-conference-2022-ebpf-wasm-amsy810

APIClarity とは Shadow/Zonbie API の検知・OpenAPI specの再構成

APIClarity - architecture HTTP Traffic を外部のバックエンドに転送する WASM Filter を利⽤

OpenClarity プロジェクトセキュリティや Observability のための OSS ツール群を開発するプロジェクト Cisco がリード（KubeCon +

KubeClarity

KubeClarity とは︖ SBOM（Software Bill Of Materials）の⽣成 • Content Analyzer: Syft

KubeClarity のアーキテクチャイメージ単位で Job を起動し、 SBOMの⽣成と脆弱性スキャンを実施

Syft と Grype による⾼速なスキャン Syft: SBOM を⽣成 Grype: SBOM を利⽤した脆弱性スキャン

KubeClarity におけるデータ • Application: 実⾏されているPod（実際にはDeploymentなどの粒度） • Application Resource: コンテナイメージ •

OpenClarity の Web UI

OpenClarity の Web UI

OpenClarity の Web UI

OpenClarity の Web UI

OpenClarity の Web UI

OpenClarity の Web UI

OpenClarity の Web UI

OpenClarity の Web UI

Demo • デプロイした microservice-demo に対する SBOM/脆弱性スキャン下記にて Web UI を公開しているので、興味のある⽅は触ってみてください

Thank you for your attention Twitter: @amsy810