コンテナイメージの裏側を覗こう — Provenance・署名・SBOM の仕組みと活用法
docker build したイメージを push したあとにコンテナレジストリの中身を覗いたことはありますか?
実はあなたが何も設定しなくても「誰が・いつ・どうビルドしたか」を記録する Provenance が自動でイメージに同梱されていて、更にCI に数行足すだけで、SBOM や暗号署名も追加することができます。
これらを活用すれば、本番障害時に「このイメージはどの commit からビルドされたか」を CI ログを遡ることなく即座に特定でき、新たな CVE が公表された際には SBOM で影響するイメージを一括で把握できます。署名があれば「正規の CI を通っていないイメージはデプロイさせない」という運用も実現できます。
本セッションでは、イメージの内部構造の読み方、CI への署名導入手順、レジストリ内のメタデータ確認方法を実演を交えて解説します。
「自分の構築したイメージの安全性を自分の手で確認・強化できるようにしてコンテナイメージの運用をよりセキュアにしたい」という人にオススメです。
Speaker
Daiki Hayakawa
株式会社スリーシェイク
ソフトウェアエンジニア
CNCF Ambassador。バックエンド開発やSRE、マネージドKubernetesサービスの開発などを経てスリーシェイクに入社。
スタートアップから大企業まで、様々なクライアントのPlatform Engineering/SRE支援を担当。特にKubernetesやコンテナ、クラウドネイティブ技術を活用したプラットフォーム構築や導入支援を中心に行っている。
著書に『Kubernetes実践ガイド』(共著)、『Kubeletから読み解くKubernetesのコンテナ管理の裏側』、『Kube API Server ~ Kubernetes API Serverの内部実装を見てみよう ~』
