この記事では、脆弱性を見つけるために使用できるコンテナー イメージ セキュリティ スキャン ツールであるDockle を見ていきます。さらに、保存されたコマンド履歴からイメージが実際に作成されていることを確認するために、ベスト プラクティスコンプライアンス チェックを実行するために使用できます。
ドックルのインストール
ユーティリティのインストールに問題はありません。
OSXへのインストール
$ brew install goodwithtech/r/dockle
Linux へのインストール
# RHEL $ VERSION=$( curl --silent "https://api.github.com/repos/goodwithtech/dockle/releases/latest" | \ grep '"tag_name":' | \ sed -E 's/.*"v([^"]+)".*/\1/' \ ) && rpm -ivh https://github.com/goodwithtech/dockle/releases/download/v${VERSION}/dockle_${VERSION}_Linux-64bit.rpm #Ubuntu $ VERSION=$( curl --silent "https://api.github.com/repos/goodwithtech/dockle/releases/latest" | \ grep '"tag_name":' | \ sed -E 's/.*"v([^"]+)".*/\1/' \ ) && curl -L -o dockle.deb https://github.com/goodwithtech/dockle/releases/download/v${VERSION}/dockle_${VERSION}_Linux-64bit.deb $ sudo dpkg -i dockle.deb && rm dockle.deb
ユーティリティをインストールしたら、イメージの名前を指定するだけです。他に何も設定する必要はなく、Docker も必要ありません。
ドックルの例
イメージの名前を指定してユーティリティを実行します。問題がなければコンソールPASS
にメッセージが表示され、問題や脆弱性が見つかった場合は詳細情報が表示されます。
Docker で Dockle を実行してみましょう。スクリーンショットは、ユーティリティが正常に動作することを示しています。
Dockle の主な機能と利点
画像の脆弱性を検索し、
正しい Dockerfile の構築に役立ちます。
使いやすさ、画像の名前を指定するだけです。
CIS ベンチマークのサポート。
他のツールとの比較
, : Docker Bench Hadolint. Dockle :
Dockle DevSecOps
, — Dockle. CI, DevSecOps.
, CI / CD Dockle: