Upgrade to Pro — share decks privately, control downloads, hide ads and more …

コンテナ脆弱性修正をRenovate,Dependabotのように行う / Fix Conta...

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for Akira Kuriyama Akira Kuriyama
September 27, 2024
500
2

コンテナ脆弱性修正をRenovate,Dependabotのように行う / Fix Container vulnerabilities on CICD

Avatar for Akira Kuriyama

Akira Kuriyama

September 27, 2024

More Decks by Akira Kuriyama

See All by Akira Kuriyama
ゼロから始める全社横断プロダクトセキュリティ / Building Organization-Wide Product Security
Avatar for Akira Kuriyama sheepland
0
130
Datadog On-Calを本番導入しました / Datadog On-Cal now in production
Avatar for Akira Kuriyama sheepland
0
550
Datadog Logsで実現するオブザーバビリティの向上 / Enhancing Observability with Datadog Logs
Avatar for Akira Kuriyama sheepland
0
200
Docker Build Cloudを導入してコンテナイメージビルド時間を80%削減した話 / Speeding Up Container Builds with Docker Build Cloud
Avatar for Akira Kuriyama sheepland
0
200
Design Doc のすすめ / The Importance of Design Docs
Avatar for Akira Kuriyama sheepland
0
1.3k
Datadogのグラフにデプロイタイミングを表示する / deploy timing on datadog graph
Avatar for Akira Kuriyama sheepland
1
770
英語学習の始め方 / How to start learning English
Avatar for Akira Kuriyama sheepland
0
130

Featured

See All Featured
[RailsConf 2023 Opening Keynote] The Magic of Rails
Avatar for Eileen M. Uchitelle eileencodes
31
10k
SEO in 2025: How to Prepare for the Future of Search
Avatar for Michael King ipullrank
3
3.4k
Odyssey Design
Avatar for Ryan Kendrick rkendrick25
PRO
2
570
Navigating the Design Leadership Dip - Product Design Week Design Leaders+ Conference 2024
Avatar for Andy Polaine apolaine
0
260
The B2B funnel & how to create a winning content strategy
Avatar for Katarina Dahlin katarinadahlin
PRO
1
330
Git: the NoSQL Database
Avatar for Brandon Keepers bkeepers
PRO
432
67k
Skip the Path - Find Your Career Trail
Avatar for Mark Kilby mkilby
1
100
The Spectacular Lies of Maps
Avatar for Per Axbom axbom
PRO
1
680
End of SEO as We Know It (SMX Advanced Version)
Avatar for Michael King ipullrank
3
4.1k
Navigating Weather and Climate Data
Avatar for Ryan Abernathey rabernat
0
160
Redefining SEO in the New Era of Traffic Generation
Avatar for Szymon Słowik szymonslowik
1
270
The Mindset for Success: Future Career Progression
Avatar for Greg Gifford greggifford
PRO
0
300

Transcript

  1. 令和最新版 他人に自慢したいヤバいCI/CD LT会 @yabaibuki.dev #2 Akira Kuriyama (@sheepland) コンテナ脆弱性修正を Renovate/Dependabot

    のように行う

  2. 自己紹介 名前 : 栗山 聖(くりやま あきら) X : @sheepland 職種

    : SRE 所属 : 株式会社スタディスト

  3. 補足 今回の話すコンテナ脆弱性とは、OSのパッケージの脆弱性です。 アプリケーションのパッケージの脆弱性は対象外。

  4. みなさんコンテナ脆弱性修正 しておりますでしょうか? 突然大きな脆弱性が見つかりSNSで話題に。 話題にならなくても日々脆弱性は発見されている。

  5. しかし、修正しようにも面倒ですよね? なにが面倒か • どのコンテナに脆弱性があるのか分からない • どうやって脆弱性を修正していいか分かりづらい • コンテナ再ビルドすればパッケージが更新されるので修正できるが、ビルド キャッシュ効いていると更新されない問題 •

    手動でビルドキャッシュを消すのが面倒 • 脆弱性修正PRという形でPRを出しづらい

  6. なにが面倒か • どのコンテナに脆弱性があるのか分からない • どうやって脆弱性を修正していいか分かりづらい しかし、修正しようにも面倒ですよね? バージョンアップしたいけど バージョン指定してない RUN apt-get

    update && apt-get install -y \ package-bar \ package-baz \ package-foo \ …

  7. しかし、修正しようにも面倒ですよね? なにが面倒か • どのコンテナに脆弱性があるのか分からない • どうやって脆弱性を修正していいか分かりづらい • コンテナ再ビルドすればパッケージが更新されるので修正できるが、 ビルドキャッシュ効いていると更新されない問題 ◦

    手動でビルドキャッシュを消すのが面倒 • 脆弱性修正PRという形でPRを出しづらい

  8. しかし、修正しようにも面倒ですよね? なにが面倒か • どのコンテナに脆弱性があるのか分からない • どうやって脆弱性を修正していいか分かりづらい • コンテナ再ビルドすればパッケージが更新されるので修正できるが、 ビルドキャッシュ効いていると更新されない問題 ◦

    手動でビルドキャッシュを消すのが面倒 • 脆弱性修正PRという形でPRを出しづらい

  9. おれたちはただ、Renovate/Dependabotのように コンテナ脆弱性修正PRをマージするだけで脆弱性を修正 したいだけなんだ…!

  10. 実現しました! 開発者側のフロー 1. Slackに脆弱性通知がくる 2. Slack通知内のPRリンクを開く 3. PRに対して脆弱性スキャンCIやアプリケーションのCIが 通っていることを確認する 4.

    mergeしてリリースする 5. 脆弱性解消! かなりDependabotやRenovateと近しい体験

  11. 実現しました! CI/CD側のフロー 1. CI/CDで毎日最新のイメージに対して脆弱性スキャン 2. 脆弱性が見つかれば脆弱性内容が記載されたGitHubのIssueを自動作成 3. そのIssueに紐付ける形で脆弱性修正PRを自動作成 4. Slackに脆弱性が見つかったことをPRのリンク付きで通知

  12. Slack通知

  13. Pull Request

  14. Issue

  15. ポイントを簡単に説明をします

  16. 脆弱性スキャンについて 脆弱性スキャンにはTrivyを使用しています。 以下のオプションを指定しています。 • vuln-typeオプションでOSパッケージのみを脆弱性スキャン対象に • severityオプションで緊急度の高い脆弱性のみを対象に • ignore-unfixedオプションでパッチが提供済みの脆弱性のみを対象に

  17. FROM node:22 # apt-getでinstallしたパッケージをアップデートする場合は以下のバージョンを上げる RUN echo "package-cache-v1" > /dev/null RUN

    apt-get update && apt-get install -y \ package-bar \ package-baz \ Dockerfileは `RUN`のコマンド内容が変わると以降はキャッシュが使われなくなります。 これを利用して、RUNの内容を更新することでキャッシュが使われないようにしています。 (RUNの内容はなんでもよいです) 脆弱性修正PRについて

  18. 脆弱性修正PRでは、"package-cache-v◦"のv◦の部分の数値を上げる 脆弱性修正PRについて

  19. CIとTrivyを組み合わせて、簡単にコンテナ脆弱性 を修正できる仕組みを作りました! まとめ

  20. 「コンテナイメージ脆弱性検知と対応フローの紹介」 https://studist.tech/container-image-vulnerability-scan-3b8a04a9577 詳しくはテックブログを参照下さい!

  21. ご静聴ありがとうございま した!