こちらの記事はアドベントカレンダーSnykを使ってセキュリティにまつわる記事を投稿しよう!【PR】の15日目の記事として投稿しています。
Docker でlog4jの脆弱性を分析できるという記事を目にしました。
どういうことかというと、Docker Scanというコンテナー脆弱性を調べられるコマンドの裏側の実装がSynkになっていて、Synk経由でコンテナー脆弱性を調べられます。
最新のDockerバージョンでは、log4jの脆弱性も調べられるとのことでした。
というわけで、Docker Scanを使ってみます。
- Docker Desktopでログインする
- コマンドで、Synkにログインする
- コマンドでDocker Scanする
docker scan –login
これでSynkにログインします。
このログインをしない場合は、「failed to get DockerScanID: bad status code “400 Bad Request”」のようなエラーが出ます。
docker scan yamatoya/gcloud-spanner-emulator
これでスキャンが実行されて結果が表示されます。(あえて古いイメージにしているのでたくさん出ていますが、本家であるわけではないです)
