連載
» 2017年06月12日 10時00分 UPDATE

古賀政純の「攻めのITのためのDocker塾」:第43回 Dockerイメージを「Quay.io」で管理する(セキュリティ編) (1/2)

ホステッドレジストリには、アップロードしたDockerイメージのセキュリティ脆弱性をチェックする機能もあります。「Quay.io」を実際に操作しながら、セキュリティチェックの方法を確認します。

[古賀政純(日本ヒューレット・パッカード),ITmedia]

 前回は、NASAやeBayなども利用しているホステッドレジストリ「Quay.io」にDockerイメージをアップロードする手順をご紹介しました。今回は、アップロードしたDockerイメージのセキュリティ脆弱(ぜいじゃく)性を、Quay.ioを使って管理する手法を具体的に解説します。

Dockerイメージのセキュリティ脆弱性をチェック

 クラウドサービスとしてのホステッドレジストリ、Quay.ioは、Dockerイメージのセキュリティ脆弱性をチェックする機能があります。そこで、前回作成したリポジトリ「testrepo01」にアップロードしたDockerイメージ「c68websvr01」に、セキュリティ面での脆弱性がないかチェックしてみましょう。事前に、Quay.ioにサインインできるようにしておいてください。Quay.ioのアカウントを作成していない方は、前回の記事を参考に、ユーザーアカウントを作成し、リポジトリ「testrepo01」を作成しておいてください。

 Quay.ioにサインインしたら、リポジトリ「testrepo01」を開きます。画面左側の上から2段目にあるタグの絵のアイコンをクリックすると、アップロード済みのDockerイメージの情報が表示されます。

Quai.ioにアップロード済みのDockerイメージ「c68websvr01」を表示 Quai.ioにアップロード済みのDockerイメージ「c68websvr01」を表示

 上記のアップロード済みのDockerイメージ「c68websvr01」の管理画面中央に「SECURITY SCAN」という項目があります。その下を見ると、「4 Critical・37 fixable」と表示されています。これは、Quay.ioにアップロードされたDockerイメージに対して、セキュリティスキャンを行った結果、クリティカルレベルのものが4件あり、クリティカルレベルを含む高レベルおよび中レベルのものが37件存在することを意味しています。さらに詳細を見るには、「4 Critical・ 37 fixable」をクリックします。

Dockerイメージ「c68websvr01」に関するセキュリティの脆弱性チェックの詳細を表示 Dockerイメージ「c68websvr01」に関するセキュリティの脆弱性チェックの詳細を表示

 さらに、Dockerイメージ「c68websvr01」に関するセキュリティの脆弱性チェックで、詳細画面の左側、上から3段目にあるパッケージの絵のアイコンをクリックすると、Dockerイメージに含まれるRPMパッケージに関する脆弱性も表示できます。

RPMパッケージに関する脆弱性を表示 RPMパッケージに関する脆弱性を表示

Dockerイメージを最新パッケージに更新してアップロード

 アップロード済みのDockerイメージ「c68websvr01」には、37件の脆弱性があることが分かりましたが、なぜこのように大量の脆弱性が含まれていたのでしょうか。

 前回、アップロードしたDockerイメージ「c68websvr01」は、iprouteパッケージとhttpdパッケージをインストールしましたが、CentOS 6.8のOSテンプレートはそのままで、パッケージを最新に更新しませんでした。すなわち、パッケージのアップデートが適用されていない状態だったのです。そのため、CentOS 6.8のOSテンプレートの最新ではないRPMパッケージが数多く含まれていて、大量の脆弱性が検出されたわけです。

       1|2 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ