リンク
NIST SP 800-190 Application Container Security Guide
コンテナセキュリティの国際的なガイダンス
コンテナに関するセキュリティ上の考慮ポイントが網羅されている csrc.nist.gov
CIS Docker Benchmark
ツール
Trivy
Aqua Security Software社が提供する脆弱性ツール
コンテナOSパッケージやプログラムの各言語に関連した依存関係などをスキャンしてくれる github.com
Hadolint
DockerfileのLintツール
DockerのベストプラクティスやShellCheckによる静的解析ツールのチェック項目が組み込まれている
Dockle
ビルドされたイメージに対して、DockerのベストプラクティスやCIS Docker Benchmarksで求められる項目をチェックしてくれる
Kritis Sgner
Kritis Signer はオープンソースのコマンドライン ツールで、構成したポリシーに基づいて Binary Authorization 証明書を作成できるツール
kaniko
Googleが中心となって開発したOSS
特定のコンテナランタイムに依存しないコンテナイメージビルドが可能
kanikoを利用してビルドするとDockerfileの各コマンドごとにそれぞれスナップショットを作成&レイヤーとして保存してイメージを作成してレジストリにプッシュする
レイヤーごとに作成されたイメージ情報は次回ビルド時にキャッシュとして利用できるのでレイヤの変更がなければビルド時間の短縮ができる
Tips
公式配布のベースイメージかどうかのチェック
現状、公式配布のベースイメージかどうかのチェックができるツールはないので、以下をCIに組み込むことで対応できる
docker search --filter is-official=true <IMAGE_NAME>
Hadolintでも関連IssueがあるのでHadolintで対応される日が来るかも?