第43回 Dockerイメージを「Quay.io」で管理する（セキュリティ編）：古賀政純の「攻めのITのためのDocker塾」（1/2 ページ）

ホステッドレジストリには、アップロードしたDockerイメージのセキュリティ脆弱性をチェックする機能もあります。「Quay.io」を実際に操作しながら、セキュリティチェックの方法を確認します。

[古賀政純（日本ヒューレット・パッカード），ITmedia]

　前回は、NASAやeBayなども利用しているホステッドレジストリ「Quay.io」にDockerイメージをアップロードする手順をご紹介しました。今回は、アップロードしたDockerイメージのセキュリティ脆弱（ぜいじゃく）性を、Quay.ioを使って管理する手法を具体的に解説します。

Dockerイメージのセキュリティ脆弱性をチェック

　クラウドサービスとしてのホステッドレジストリ、Quay.ioは、Dockerイメージのセキュリティ脆弱性をチェックする機能があります。そこで、前回作成したリポジトリ「testrepo01」にアップロードしたDockerイメージ「c68websvr01」に、セキュリティ面での脆弱性がないかチェックしてみましょう。事前に、Quay.ioにサインインできるようにしておいてください。Quay.ioのアカウントを作成していない方は、前回の記事を参考に、ユーザーアカウントを作成し、リポジトリ「testrepo01」を作成しておいてください。

　Quay.ioにサインインしたら、リポジトリ「testrepo01」を開きます。画面左側の上から2段目にあるタグの絵のアイコンをクリックすると、アップロード済みのDockerイメージの情報が表示されます。

Quai.ioにアップロード済みのDockerイメージ「c68websvr01」を表示

　上記のアップロード済みのDockerイメージ「c68websvr01」の管理画面中央に「SECURITY SCAN」という項目があります。その下を見ると、「4 Critical・37 fixable」と表示されています。これは、Quay.ioにアップロードされたDockerイメージに対して、セキュリティスキャンを行った結果、クリティカルレベルのものが4件あり、クリティカルレベルを含む高レベルおよび中レベルのものが37件存在することを意味しています。さらに詳細を見るには、「4 Critical・ 37 fixable」をクリックします。

Dockerイメージ「c68websvr01」に関するセキュリティの脆弱性チェックの詳細を表示

　さらに、Dockerイメージ「c68websvr01」に関するセキュリティの脆弱性チェックで、詳細画面の左側、上から3段目にあるパッケージの絵のアイコンをクリックすると、Dockerイメージに含まれるRPMパッケージに関する脆弱性も表示できます。

RPMパッケージに関する脆弱性を表示

Dockerイメージを最新パッケージに更新してアップロード

　アップロード済みのDockerイメージ「c68websvr01」には、37件の脆弱性があることが分かりましたが、なぜこのように大量の脆弱性が含まれていたのでしょうか。

　前回、アップロードしたDockerイメージ「c68websvr01」は、iprouteパッケージとhttpdパッケージをインストールしましたが、CentOS 6.8のOSテンプレートはそのままで、パッケージを最新に更新しませんでした。すなわち、パッケージのアップデートが適用されていない状態だったのです。そのため、CentOS 6.8のOSテンプレートの最新ではないRPMパッケージが数多く含まれていて、大量の脆弱性が検出されたわけです。