オンデマンドの脆弱性スキャンによるセキュリティのシフトレフト

※この投稿は米国時間 2021 年 8 月 26 日に、Google Cloud blog に投稿されたものの抄訳です。

デプロイの段階に達する前にセキュリティ上の脆弱性を検出して改善することは、クラウドネイティブな環境できわめて重要です。これにより、継続的インテグレーションと継続的デリバリー（CI / CD）のプロセスにおいて、脆弱性スキャンを早期に頻繁に行うことが重要な要素になります。問題の検出が早いほど、後工程で発生する問題が少なくなります。デプロイの早期段階で脆弱性の存在を確認するプロセスを「シフトレフト」と呼びます。実際、ソフトウェア開発にセキュリティを組み込むことで、ソフトウェアのデリバリーが迅速になり、パフォーマンスも向上します。DevOps Research and Assessment（DORA）による調査では、優れた実績を上げているチームでは、実績に劣るチームよりも、セキュリティ上の問題解決に要する時間がシフトレフトによって半分に削減されています。

企業がセキュリティのシフトレフトを実現できるように、Google Cloud では最近、オンデマンド スキャンの一般提供を開始しています。この新しい機能は、ローカルに保存されているコンテナ イメージと GCP レジストリに保存されているイメージの両方を対象として脆弱性の存在を確認します。オンデマンド スキャンを実施すれば、イメージをレジストリに push するはるか前、イメージを作成した時点で脆弱性があるかどうかが明らかになります。このように早期段階で脆弱性を可視化することによって、コンテナ イメージの広範な利用を促進するかどうかの意思決定と判断を自動化できます。脆弱性があるイメージを CI パイプラインでこのように洗い出すことによって、それをデリバリーの前に修正できます。また、デベロッパーは、簡潔な gcloud コマンドを使用して、ローカル ワークフローの過程でオンデマンド スキャンを使用できます。Google による最近の安全なソフトウェア サプライ チェーンについてのイベントを確認することで、このプロセスのほか、信頼できるソフトウェア デリバリー パイプラインの構築方法について詳しく知ることができます。

ビルドからデプロイまで、ソフトウェア サプライ チェーンで Google Cloud の脆弱性スキャンを実施することによって得られる利点につき、Google が以前に解説しています。この主な利点は現在でも有効であり、オンデマンド スキャンの追加によってさらに強固なものになります。たとえば、ビルド時にオンデマンド スキャンを実施するほか、自動スキャンを使用して、Artifact Registry に保存したイメージを継続的にモニタリングできます。このような早期段階でオンデマンド スキャンを使用することで、イメージを保存する前に脆弱性を検出できます。この方法で、脆弱性があるイメージが push される機会を削減し、新たに発見されたあらゆる脆弱性をデプロイのはるか前の段階で確実に捕捉できます。

脆弱性に関するデータソースは、業界基準のディストリビューション（Debian、RHEL、Ubuntu など）と National Vulnerabilities Database（NVD）から直接得られます。これらのデータソースの集約により、NVD によって割り当てられた CVSS スコアとディストリビューションによって割り当てられた重要度が考慮された結果を確認できます。脆弱性の可能性を洗い出しておけば、セキュリティに関する各自のポリシーとニーズに基づく意思決定ができます。

オンデマンド スキャンで得られる結果は、オープンソースである Grafeas 標準による形式になっているので、Artifact Registry での脆弱性スキャンと同じ方法で解析できます。このように、Grafeas 形式を利用する既存のあらゆるツール（Artifact Registry や Container Registry など）をオンデマンド スキャンで使用できます。

On-Demand Scanning API を有効にしてコンテナに接続するだけで、この方法をすぐに利用できるようになります。利用に当たってのガイドとして、ローカルマシン上でオンデマンド スキャンを実施するためのクイックスタート ガイドを参照するか、Cloud Build でオンデマンド スキャンを実施する方法を解説しているチュートリアルをお試しください。

-プロダクト マネージャー Brian Russell

-プロダクト マーケティング リード Nikhil Kaul