多くの企業は、セキュリティツールを継続的インテグレーションや継続的デリバリーのパイプラインに統合するアプローチを採用しています。しかし、それとは別のアプローチを求める企業もあります。
プライベートレジストリ
Tripwire for DevOpsの一般的な利用法の1つに、プライベートカスタマーレジストリのスキャンがあります。Tripwire for DevOpsは、プライベートなDocker V2またはホステッドレジストリに存在するDockerイメージを定期的に取得してスキャンすることができます。最近、Tripwireでは、Amazon Elastic Container Registry、Azure Container Registry、Google Container Registry、Quay.ioのホステッドレジストリにも対応を開始しました。
プライベートレジストリ内で新しいイメージが自動的に検出され、ユーザー定義のスケジュールに従って脆弱性スキャンが実行されます。これにより、デリバリーやデプロイメントと脆弱性スキャンとを切り離したいと考えているDevOpsグループの希望を叶えます。ビルド作業と同時に監査も行え、デリバリーパイプラインが中断されることはありません。
アラート
もちろん、Out-of-Bandでのイメージ評価を行う際には、脆弱なイメージが発見された場合にアラートを生成する必要があります。Tripwire for DevOpsでは、グローバルまたはリポジトリベースで脆弱なイメージに関するアラートをユーザーがEメール送信することができます。そのため、脆弱性が発見された場合に、関連部署は必ず通知を受けるようになります。
クオリティゲート機能を使用すると、Tripwire for DevOpsシステム内で合格または不合格と判定する基準をユーザーが定義できます。ユーザーは、事前設定されたオプションから選択したり、特定のDockerイメージに合わせてクオリティゲートをカスタマイズしたりできます。これにより、各イメージを担当するチームが自分でアラートプロトコルを作成することが可能になります。
できるだけ早く脆弱性を発見することを主な目的の1つとするTripwire for DevOpsでは、イメージの脆弱性分析をビルドパイプラインに統合することで、問題を早期に把握できるようにしています。
統合されたアプローチをあまり望まない場合でも、プライベートレジストリに保存されたイメージを本番環境にプッシュする前にすばやく評価することで目的を達成できます。
Tripwire For DevOpsについての詳細を知るには、データシートをご覧になるか、https://devops.tripwire.com/から無料トライアルに登録してください。
