More than 5 years have passed since last update.

そのコンテナは本当に安全？　GCP Container Registry のコンテナ脆弱性スキャンを試す

Last updated at 2018-08-15Posted at 2018-08-15

Google Cloud Platform の Container Registry はその名の通り、Docker イメージのレポジトリのサービスです。このサービスではイメージの脆弱性をスキャンする機能を利用することができます（ただし、この記事を執筆した時点では α 版です）。

セキュリティは様々な観点から守らなければなりませんが、こういったツールを適材適所で使っていくことでセキュリテイリスクを軽減できます。

ここでは、簡単な Flask の Web アプリのコンテナイメージを作成します。脆弱性があるかどうかを確認するまでの一連の流れを説明します。

Container Registry の脆弱性スキャン機能を有効化する

以下の二つの設定を有効化する必要があります。

Container Analysis API
脆弱性スキャン

設定方法は、公式ドキュメントのContainer Registry 脆弱性スキャンをご参照ください。

Docker イメージのビルド

ここからは Cloud Shell で作業します。Cloud Shell は管理コンソールの右上のアイコンから起動できます。Cloud Shell を使うことでブラウザ上のターミナルで各種作業ができるようになります。

「app.py」「Dockerfile」を以下の通り作成します。

app.py

from flask import Flask
app = Flask(__name__)

@app.route("/")
def hello():
    return "Hello World!"

Dockerfile

FROM debian
RUN apt-get -qq update; \
    apt-get -qq -y upgrade; \
    apt-get -qq -y install \
        python \
        python-pip; \
    pip install flask
WORKDIR /src
EXPOSE 8080
COPY app.py /src
ENV FLASK_APP=app.py
CMD ["flask", "run", "--host=0.0.0.0", "--port=8080"]

イメージをビルドします。

$ docker build -t vulnerabilities-test .

イメージの動作確認

イメージの動作確認をするために、コンテナを起動します。

$ docker run -d -p 8080:8080 vulnerabilities-test

Cloud Shell のターミナルの右上に「ウェブでプレビュー」ボタンがあります。

クリックし表示された Web ページで「Hello World!」と表示されていれば、イメージのビルドは成功です。

イメージを Container Registry に push

次の流れでイメージを Container Registry に push します。

# 環境変数にプロジェクトIDを格納
$ export PROJECT_ID=$(gcloud config list project --format "value(core.project)")

# イメージに所定の命名規則で別名をつける
$ docker tag vulnerabilities-test gcr.io/$PROJECT_ID/vulnerabilities-test

# Container Registry に push
$ gcloud docker -- push gcr.io/$PROJECT_ID/vulnerabilities-test