メインコンテンツまでスキップ

Takumi Images ベータ版を提供開始

· 約5分
Takashi Yoneuchi
CTO @ GMO Flatt Security Inc.

Takumi Images のベータ版を提供開始しました。Takumi Images は、継続的に再ビルドとスキャンを行い、既知の脆弱性が解消された状態を保つコンテナイメージ群を提供します。

イメージは OCI レジストリ images.flatt.tech で公開しています。

Takumi Images

概要

開発組織には、セキュリティ更新をこれまで以上に高い頻度で適用することが求められています。一方で、更新作業そのものを狙うソフトウェアサプライチェーン攻撃も増えています。

Takumi Images は、この運用上の緊張を下げるための機能です。一般的なランタイムイメージについて、利用者がベースイメージのパッチパイプラインを自前で構築しなくても、保守されたベースイメージへ移行できるようにします。

対応するイメージがカタログに含まれていれば、ベースイメージ内のパッケージを調査し、修正版を選定し、自分でイメージを再ビルドする代わりに、ベースイメージの参照を Takumi Images に切り替え、更新時に最新の Takumi イメージを pull して利用できます。

本機能は現在無料です。またβ期間終了後も、既に公開済の範囲のイメージは引き続き無料で提供いたします。 脆弱性対応に関するSLA、及びさらなるイメージカタログやカスタマイズ機能に関しては、今後ご案内する有償プラン内での提供となる見込みです。

利用開始

利用中のベースイメージに対応するイメージがカタログに含まれていれば、多くの場合、移行に必要なのは Dockerfile の FROM 行の変更だけです。

- FROM node:latest
+ FROM images.flatt.tech/takumi/node:latest

移行後は、イメージを pull し直すことで、最新の再ビルド済みイメージを取得できます。

docker pull images.flatt.tech/takumi/node:latest

詳しくは Takumi Images のドキュメント を参照してください。

含まれる価値

Takumi Images は、ベースイメージの運用を楽にするために、次の3つをまとめて提供します。

1つめは、そもそも含まれているものが少ないことです。各イメージは、メインのプログラムと、その実行に必要な最小限のライブラリを中心に構成しています。これにより、アプリケーションコードではなくベースイメージに由来するスキャナのノイズを減らしやすくなります。

2つめは、ベースイメージ側の調査負担を提供元に寄せられることです。Takumi Images に含まれるソフトウェアについては、提供元が脆弱性の影響をトリアージし、取り込む上流コードについてもマルウェアチェックを行っています。利用者が、ベースイメージ由来の検出結果や更新元の安全性を都度追い続ける負担を減らせます。

3つめは、サプライチェーンを確認するための情報です。各イメージには、以下のような検証可能な情報が付属します。

  • 署名付きイメージ
  • SBOM attestation
  • SLSA Provenance attestation
  • 提供元が評価した脆弱性情報に対する VEX attestation

これらの情報により、イメージの中身、出どころ、ベースイメージに対して報告された検出結果の現在の判断を確認できます。

今後の展望

今後は、提供するコンテナイメージの種類をデータベース・言語ランタイム・ミドルウェアを中心にさらに拡充するとともに、コンプライアンス要件に対応したイメージバリアントの提供を予定しています。

また、CVE ID未採番の脆弱性情報の検出とナイトリービルドとしての先行取り込み、国際的なコンプライアンス要件への対応等を予定しています。