CI/CD およびレジストリのスキャンと実行時の脆弱性レポートの作成

CI/CD パイプラインとレジストリ内のスキャンを自動化し、レジストリスキャンをインラインで実行します。実稼働前に脆弱性をブロックし、実行時に新しい CVE を監視します。重要な脆弱性はアプリケーションおよび開発チームにマッピングします。


無償トライアルを開始

製品ツアー

最新情報! 【Sysdigによる2023年クラウドネイティブセキュリティ&活用状況レポート(日本語版)】をダウンロード

もっと詳しく

実稼働前および実行時に脆弱性を特定

Sysdig Icon - Image Scanning

CI/CD 内のイメージスキャンを自動化

イメージスキャン(Docker セキュリティスキャン)を CI/CD に組み込み、本番環境へのデプロイメント前にレジストリスキャンを実行することで、OS の脆弱性や OS 以外の脆弱性を早期に検出できます。

Sysdig Icon - Security Policy

すぐに使える Dockerfile チェックのベストプラクティスを活用

事前構築済みまたはカスタムのイメージスキャンポリシーを使用して、脆弱性、構成ミス、セキュリティ上の不適切な行為をすばやく見つけて時間を節約できます。

dashboard icon

実行時に脆弱性モニタリングを実施

イメージを再スキャンすることなく、実行時に新たな脆弱性を継続的に監視し、適切なチームに即座にアラートを送信することで信頼性を向上できます。

ImageVision
Jenkins Gitlab CircleCI Bamboo

CI/CD パイプライン内のイメージスキャンを自動化

イメージスキャン(Docker セキュリティスキャン)を任意の CI/CD パイプライン(JenkinsBambooGitLabCircleCIGitHub ActionsAzure Pipelines など)に直接組み込みます。OS の脆弱性や OS 以外の脆弱性、構成ミス、資格情報の漏えい、セキュリティ上の不適切な行為を検出します。

Quay、Amazon ECR、Docker Hub プライベート​レジストリ、Google Container Registry、Artifact Registry、JFrog Artifactory、Microsoft ACR、SuSE Portus、VMware Harbor など、Docker v2 と互換性のあるレジストリ内でレジストリスキャンを実行します。

Quay JFrog Docker
Image scanning with Jenkins

Sysdig のインラインスキャンを採用することで、イメージを完全に制御し続けることができます。CI/CD パイプラインやレジストリ内で、あるいは実行時にスキャンを実施し、その結果を Sysdig のみに送信します。

Sysdig Secure でサーバーレスコンテナをスキャンします。Fargate タスクの開始イベントをリッスンすることで、ECR 内で直接 AWS Fargate コンテナを自動的にスキャンします。GCR の統合により、Google Cloud Run 上のサーバーレスコンテナをスキャンします。

Fargate Cloud Run
Kubernetes vulnerability management

Kubernetes アドミッションコントローラを使用して、スキャンされていないイメージや脆弱なイメージがクラスタにデプロイされるのを防ぐことができます。

すぐに使える Dockerfile のベストプラクティスを活用

すぐに使える Dockerfile のベストプラクティスで脆弱性をすばやく検出できます。たとえば、OS パッケージに含まれている重要な CVE を特定したり、修正プログラムが公開されてから 30 日以上実行されている脆弱なイメージを検出したりできます。

Sysdig Secure Image Scanning Single Workflow

Sysdig Secure Image Scanning Tools to Implement

Dockerfile でポート 22 が公開されているといった構成ミスがある場合、攻撃者の入り口になる可能性があります。カスタムのコンテナスキャンポリシーやレジストリスキャンポリシーを設定すれば、構成ミスやセキュリティ上の不適切な行為を早期に発見できます。

NIST SP 800-190、PCI DSS 向けのすぐに使えるポリシーを使用して、コンテナのコンプライアンスを継続的に検証できます。また、開発者がセキュリティに関する次のようなベストプラクティスに従っているかどうかも確認できます。

  • イメージサイズの制限
  • GPlv2 ライセンスのブラックリスト登録
  • コンテナが信頼できるベースイメージと必要なパッケージのみを使用するようにする
image scanning policies in Sysdig Secure
Image Scanning Runtime Image Overview

実行時のコンテナスキャンの実施

実行時にイメージスキャン(Docker セキュリティスキャン)を組み込むことで、新しい CVE のリスクの影響をすばやく評価します。イメージを再スキャンすることなくこれらの脆弱性を継続的に監視し、脆弱性を特定のアプリケーションにマッピングし、修正を担当するチームを特定します。

CVE ID、重大度、修正、経過期間に基づいて本番環境の脆弱性を照会し、特定の Kubernetes クラスタ、ネームスペース、デプロイメント、またはポッドにスコープを設定します。

Image Scanning Query Vulnerabilities
Image Scanning Alerts

環境内で新たな CVE が見つかった場合は、適切なチームに自動的にアラートを送信します。複数のチャネル(Slack、PagerDuty、SNS など)を利用して、開発者にすばやく連絡できます。

“本番環境に移行する前に、イメージに脆弱性がなくベストプラクティスに従っていることを確認する必要があります。”

Sysdig を利用している世界的旅行会社

さらに詳しく

Free Trial Laptop no shadow

30 日間の無償トライアルを数分で開始

すべての機能に完全にアクセスでき、クレジットカードは不要です。

無償トライアルを開始