August 9, 2019

Azure Container Registry TasksでAqua MicroScannerを自動実行する

何の話か コンテナーイメージに脆弱性のあるパッケージが含まれないかチェックしてくれるAqua MicroScannerですが、Azure Container Registry(ACR)のACR Tasks ビルド時でも実行できるとうれしいですよね。その手順をまとめます。 @ehotinger のブログを読み、このアイデアはもっと知られてもいいなぁと思ったのが書いたきっかけです。Thanks Eric! Aqua MicroScannerとは Aqua Security社はコンテナー関連の包括的な製品を提供していますが、MicroScannerはコンテナーイメージ含まれるパッケージの脆弱性スキャンに特化したソフトウェアで、無償で利用できます。もちろん有償版のほうが機能豊富で幅広い脅威に対応できるのですが、パッケージの脆弱性スキャンで十分という場合には、感謝してMicroScannerを使わせていただきましょう。無償/有償の機能差はこちらを。 MicroScannerのコンセプトは、以下のリンク先にある記事やスライドがわかりやすいです。 Aqua’s MicroScanner: Free Image Vulnerability Scanner for Developers What’s so hard about vulnerability scanning? Aqua MicroScanner - A free-to-use tool that scans container images for package vulnerabilities - GitHub トークンの取得 MicroScannerの実行にはトークンが要ります。以下の手順で、指定したメールアドレスに送られてきます。メールを確認し、控えておきましょう。 $ docker run --rm -it aquasec/microscanner --register <email address> コンテナービルド時に実行してみる 以降、ここにサンプルを置いておきましたので、このfork、cloneを前提に話をすすめます。 ACRでの自動実行の前に、MicroScannerをどう使うか、どんな動きをするのかを見ておきましょう。 まずはじめに、こんなコンテナーイメージを作ります。ファイルはallin.Dockerfileです。 FROM alpine:3.3 RUN apk add --no-cache ca-certificates ADD https://get. Read more

© Copyright 2019 Toru Makabe

Powered by Hugo & Kiss.