Dockerイメージスキャンをご存じですか? DockerがリリースしたDockerのローカルイメージに対し、Scanを実行することで、Dockerイメージ内に潜むセキュリティ脆弱性を可視化してくれるセキュリティ脆弱性検査ツールです。

CVEを検出する便利なツールですので、APPSWINGBYでは定期的に使用するよう推奨しているツールのひとつとなっています。

Dockerイメージスキャンの使い方

Dockerイメージスキャンの使用方法はいたって簡単で、CLIを起動し、以下のコマンドを叩くだけです。

docker scan IMAGE_NAME

インストールからスキャンまでの流れは以下の通りです。

apt-get update && apt-get install docker-scan-plugin
yum install docker-scan-plugin
docker scan --accept-license --version

バージョンの確認は脆弱性のカタログ情報が更新されている可能性が高い為、とても重要ですので、必ず行っておきましょう。

ここまできたら、最後はスキャンの実施です。

docker scan IMAGE_NAME

Dockerfileに対してスキャンするの場合は以下の通りです。

docker scan --file <Dockerfileへのパス> <Dockerイメージ>

便利なフラグ

docker scanを実行するに際に、便利なフラグも用意されていますので、ご紹介しておきます。

--json

–jsonフラグを加えておくと、スキャンの結果をjson形式で出力してくれるので便利です。

--severity=medium 

スキャンで発見された脆弱性のレベルを選んで表示してくれる—severity=XXXも便利です。

XXXにはlow、medium、highのいづれかを指定することができ、lowであればlow以上(low+medium、high)、mediumであれば(medium +high)の情報を出力してくれます。

昨今、政府の最高機密情報が中国軍にハッキングされていたとか、マイナカードの情報が漏洩していた、、、といったセキュリティ対策が不十分な結果、情報が漏洩してしまうといったニュースが連日のように報道されています。

情報漏洩や脆弱性への備えは、コンピューターを使用して何かを行っている以上、常に行っていく必要があるものですので、常日頃から習慣化しておきたい業務のひとつとなっています。ということで本日はDocker scanについてご紹介させて頂きました。

今日も一日頑張りましょう!