コンテナイメージのスキャン

コンテナイメージのスキャン

コンテナのイメージ名を指定して、コンテナのイメージスキャンをすることができます。 FutureVulsではCVEの検出以外に、Dockleによるセキュリティやベストプラクティスもチェックできます。

公開されているコンテナイメージ以外に、外部連携をすることでプライベートイメージにもスキャンできます。現在、以下のプライベートレジストリに対応しています。

  • Amazon ECR

今後、以下のレジストリにあるプライベートイメージも実装予定です。

  • DockerHub
  • GCR (Google Container Registry)
  • Azure Container Registry
  • 独自ホストのイメージレジストリ

AWS ECRのプライベートイメージをスキャンする

2019/12/17の時点では、「APIキーでの認証」からのみイメージスキャンが実施できます。
近日中に、IAMロールでの認証に対応する予定です。

詳細は外部連携 AWS 認証設定の「APIキーを使った認証方法」をご確認ください。

スキャンの頻度

特に操作をしない場合、毎朝 7:00(JST)前後にコンテナイメージのスキャンを実施します。 FutureVulsの画面から、手動でスキャンを実施することも可能です。

イメージの登録

サーバ > イメージサーバ追加 から、スキャンしたいコンテナイメージの登録ができます。

動的にイメージの最新タグをスキャンしたい場合、「最新のタグ」のチェックをしたまま登録してください。 対象のタグを固定でスキャンしたい場合は「最新のタグ」のチェックを外し、スキャンしたいタグ名を入力してください。

スキャンの実行

イメージの登録が完了すると、サーバの詳細タブに「スキャンを実行」ボタンが表示されます。 プライベートイメージを利用する場合は、外部連携を完了して実施してください。 スキャンが実行されると、通常のサーバと同じように脆弱性やタスクが作成されます。

コンテナイメージの詳細タブ

コンテナイメージスキャンの結果、Dockleで検知したものがあった場合、サーバーの詳細タブに表示されます。
また、スキャン対象のイメージのタグを更新したい場合もこちらの詳細タブから指定できます。