俺の技術ノート

当サイトについて
『俺』
🌳 システム
🌳 システム
- システム
- アーキテクチャ特性
🧬 ソフトウェア
🧬 ソフトウェア
- ソフトウェア
- プラクティス集
🚀 アプリ
🚀 アプリ
- アーキテクチャ
- ■ バックエンドアーキテクチャ
  ■ バックエンドアーキテクチャ
  - ■ オブジェクト指向
    ■ オブジェクト指向
    
    オブジェクト指向
    
    オブジェクト指向分析
    
    オブジェクト指向設計
  - ドメイン駆動設計
  - クリーンアーキテクチャ
  - CQRS
- ■ フロントエンドアーキテクチャ
  ■ フロントエンドアーキテクチャ
  - フロントエンドアーキテクチャ
- ■ マイクロサービスアーキテクチャ
  ■ マイクロサービスアーキテクチャ
- ■ アプリケーション間連携
  ■ アプリケーション間連携
  - アプリケーション間通信
  - ■ RESTful-API
    ■ RESTful-API
    
    RESTful-API
    
    API仕様書
  - ■ RPC-API
    ■ RPC-API
    
    gRPC
    
    ■ クライアントパッケージ
    ■ クライアントパッケージ
    
    Go
  - ■ GraphQL-API
    ■ GraphQL-API
    
    GraphQL
🤝🏻 ミドルウェア
🤝🏻 ミドルウェア
- ■ Web系
  ■ Web系
  - ■ Nginx
    ■ Nginx
    
    Nginx
    
    nginx.conf
    
    コマンド
    
    モジュール
  - ■ Apache
    ■ Apache
    
    Apache
    
    apache.conf
    
    コマンド
- ■ アプリケーション系
  ■ アプリケーション系
  - ■ FastCGI
    ■ FastCGI
    
    ■ PHP-FPM
    ■ PHP-FPM
    
    PHP-FPM
    
    設定ファイル
  - ■ WSGI
    ■ WSGI
    
    ■ uWSGI
    ■ uWSGI
    
    uWSGI
    
    設定ファイル
  - ■ ASGI
    ■ ASGI
    
    Uvicorn
- ■ データベース系
  ■ データベース系
  - ■ RDB
    ■ RDB
    
    ■ RDBMS
    ■ RDBMS
    
    RDBMS
    
    プラクティス集
    
    ACID
    
    ■ My︎SQL
    ■ My︎SQL
    
    MySQL
    
    設定ファイル
    
    ■ SQL
    ■ SQL
    
    DML
    
    DCL
    
    DDL
    
    ■ PostgreSQL
    ■ PostgreSQL
    
    設定ファイル
    
    Repmgr
  - ■ TSDB
    ■ TSDB
    
    TSDB
    
    ■ VictoriaMetrics
    ■ VictoriaMetrics
    
    VictoriaMetrics
    
    コマンド
  - ■ コネクションプールプロキシー
    ■ コネクションプールプロキシー
    
    ■ PgBouncer
    ■ PgBouncer
    
    PgBouncer
    
    設定ファイル
- ■ セキュリティ系
  ■ セキュリティ系
  - Linux標準
  - ■ Falco
    ■ Falco
    
    Falco
    
    設定ファイル
- ■ サービスメッシュ系
  ■ サービスメッシュ系
  - サービスメッシュ
  - サービスメッシュの担う責務
  - ■ Envoy
    ■ Envoy
    
    Envoy
    
    envoy.yaml
    
    テレメトリー
    
    API
    
    プラクティス
🐧 OS
🐧 OS
- ■ Linuxカーネル
  ■ Linuxカーネル
- ■ ユーティリティ
  ■ ユーティリティ
  - ユーティリティ
  - Unix系標準ユーティリティ
  - シェル
  - スクリプト
  - ■ パッケージ
    ■ パッケージ
    
    メモリ系
    
    ネットワーク系
    
    セキュリティ系
    
    ストレージ系
  - ■ パッケージ管理ユーティリティ
    ■ パッケージ管理ユーティリティ
    
    パッケージ管理ユーティリティ
    
    Linux系
    
    RedHat系
    
    Debian系
- ■ 言語プロセッサ
  ■ 言語プロセッサ
  - 言語プロセッサ
  - 機械語と進数
🔠 言語
🔠 言語
- 言語の種類
- 言語別の処理方式
- ■ データ記述言語
  ■ データ記述言語
  - ■ JSON
    ■ JSON
    
    JSON
    
    JSONクエリ
  - ■ YAML
    ■ YAML
    
    YAML
  - ■ Protocol Buffer
    ■ Protocol Buffer
    
    Protocol Buffer
    
    コマンド
    
    ■ Protocol Bufferコンパイラー
    ■ Protocol Bufferコンパイラー
    
    Goプラグイン
- ■ PHP
  ■ PHP
  - PHP
  - コマンド
  - ■ クラスベース
    ■ クラスベース
    
    クラス
    
    メソッド/データ
    
    データ構造
  - ■ ロジック
    ■ ロジック
    
    検証ロジック
    
    エラーとエラーハンドリング
    
    反復ロジック
    
    アルゴリズム
    
    デバッグ
  - ■ フレームワーク
    ■ フレームワーク
    
    ■ Laravel
    ■ Laravel
    
    コンポーネント
    
    ︎Eloquent ORM
    
    専用パッケージ
    
    認証/認可系パッケージ
    
    コマンド
    
    ■ Symfony
    ■ Symfony
    
    コンポーネント
    
    Doctrine ORM
  - ■ パッケージ
    ■ パッケージ
    
    パッケージ管理
    
    SQLパッケージ
    
    ユーティリティパッケージ
- ■ JavaScript
  ■ JavaScript
  - ■ プロトタイプベース
    ■ プロトタイプベース
    
    プロトタイプ
    
    メソッド/データ
  - ■ ロジック
    ■ ロジック
    
    検証ロジック
    
    非同期処理ロジック
    
    デバッグ
  - ■ フレームワーク
    ■ フレームワーク
    
    Vue.js
    
    Nuxt.js
  - ■ パッケージ
    ■ パッケージ
    
    パッケージ管理
  - ■ ブラウザ
    ■ ブラウザ
    
    ブラウザレンダリング
- ■ Go
  ■ Go
  - Go
  - コマンド
  - ■ ロジック
    ■ ロジック
    
    データ
    
    メソッド
    
    検証ロジック
  - ■ フレームワーク
    ■ フレームワーク
    
    Gin
  - ■ パッケージ
    ■ パッケージ
    
    ビルトインパッケージ
    
    SQLパッケージ
    
    ユーティリティパッケージ
- ■ Python
  ■ Python
  - Python
  - ■ フレームワーク
    ■ フレームワーク
    
    ■ Flask
    ■ Flask
    
    コンポーネント
    
    コマンド
  - ■ パッケージ
    ■ パッケージ
    
    パッケージ管理
- R
🧪 テスト
🧪 テスト
- ■ ホワイトボックステスト
  ■ ホワイトボックステスト
  - ホワイトボックステスト
  - マイクロサービスのテスト
  - ■ PHPのテストツール
    ■ PHPのテストツール
    
    PHPのテストツール
    
    静的解析
    
    ■ 単体テスト
    ■ 単体テスト
    
    PHPUnit
    
    Phake
  - ■ Goのテストツール
    ■ Goのテストツール
    
    Goのテストツール
    
    ■ 単体テスト
    ■ 単体テスト
    
    testify
  - ■ インフラ
    ■ インフラ
    
    ■ 静的解析
    ■ 静的解析
    
    静的解析ツール
    
    ■ 文法の誤りテスト
    ■ 文法の誤りテスト
    
    kubeconform
    
    ■ コード規約違反テスト
    ■ コード規約違反テスト
    
    confest
    
    ■ ベストプラクティス違反テスト
    ■ ベストプラクティス違反テスト
    
    polaris
    
    ■ バージョンテスト
    ■ バージョンテスト
    
    pluto
    
    nova
    
    ■ 脆弱性診断
    ■ 脆弱性診断
    
    checkov
    
    kics kics
    このページの内容
    
    はじめに
    
    01. kicsの仕組み
    
    検出項目
    
    02. セットアップ
    
    03. オプション
    
    scan
    
    ▼ scanとは
    
    ▼ --exclude-severities
    
    ▼ -p
    
    ▼ --no-progress
    
    kube-score
  - ■ アプリ/インフラ両方
    ■ アプリ/インフラ両方
    
    ■ 脆弱性診断
    ■ 脆弱性診断
    
    trivy
- ■ ブラックボックステスト
  ■ ブラックボックステスト
  - ブラックボックステスト
  - ■ 総合テスト
    ■ 総合テスト
    
    総合テスト
    
    JMeter
    
    ChaosMesh
💻 ハードウェア
💻 ハードウェア
🌏 ネットワーク
🌏 ネットワーク
- ネットワーク
- ■ モデル
  ■ モデル
  - ■ OSI参照モデル
    ■ OSI参照モデル
    
    OSI参照モデル
    
    ■ L5 ~ L7
    ■ L5 ~ L7
    
    L5 ~ L7
    
    HTTP
    
    ■ L4
    ■ L4
    
    L4
    
    ポート
    
    ■ L3
    ■ L3
    
    L3
    
    IPアドレス
    
    ルーター
    
    L2
    
    L1
  - TCP階層モデル
🔐 セキュリティ
🔐 セキュリティ
- ■ サイバー攻撃
  ■ サイバー攻撃
  - サイバー攻撃
  - マルウェア
- ■ 対策
  ■ 対策
  - 対策
  - ■ パケットペイロードの暗号化技術
    ■ パケットペイロードの暗号化技術
    
    パケットペイロードの暗号化技術
    
    暗号方式
    
    暗号化プロトコル
  - ■ 保管データの暗号化技術
    ■ 保管データの暗号化技術
    
    保管データの暗号化技術
- ■ 認証/認可
  ■ 認証/認可
  - ■ 認証
    ■ 認証
    
    認証
    
    HTTP認証
    
    トークン
  - ■ 認可
    ■ 認可
    
    認可
    
    OpenPolicyAgent
  - ■ SSO
    ■ SSO
    
    SSO
    
    OAuth
    
    SAML
    
    OIDC
⛅️ 3大クラウド
⛅️ 3大クラウド
- 3大クラウド
- ■ AWS
  ■ AWS
  - AWS CLI
  - ■ AWSリソース
    ■ AWSリソース
    
    アカウント
    
    Amplify
    
    ■ API Gateway
    ■ API Gateway
    
    ︎API Gateway
    
    ︎API Gatewayに対するymlインポート
    
    AutoScaling
    
    Backup
    
    Certificate Manager
    
    Chatbot
    
    CloudFormation
    
    CloudFront
    
    CloudTrail
    
    CloudWatch
    
    Code兄弟
    
    Control Tower
    
    DirectConnect
    
    EC2
    
    ECR
    
    ECS
    
    EFS
    
    EKS
    
    ︎ElastiCache
    
    EventBridge
    
    FireLens
    
    Global Accelerator
    
    Glue
    
    IAM
    
    Kinesis
    
    KMS
    
    ■ Lambda
    ■ Lambda
    
    Lambda
    
    Lambda関数
    
    LB
    
    RDS
    
    Redshift
    
    Route53
    
    S3
    
    Secrets Manager
    
    SES
    
    SNS
    
    SQS
    
    Step Functions
    
    STS
    
    Systems Manager
    
    VPC
    
    WAF
    
    WorkMail
    
    X-Ray
  - ■ プラクティス集
    ■ プラクティス集
    
    運用性
    
    信頼性
    
    パケットペイロード安全性
    
    ストレージ安全性
    
    コスト最適化
  - ツール
- ■ Google Cloud
  ■ Google Cloud
  - Google Cloud CLI
  - ■ Google Cloudリソース
    ■ Google Cloudリソース
    
    ■ Anthos
    ■ Anthos
    
    Anthos
    
    アップグレード
    
    CloudLogging
    
    IAM
📦 仮想化
📦 仮想化
- 仮想化
- ■ コンテナ型仮想化
  ■ コンテナ型仮想化
  - コンテナ
  - ■ Docker
    ■ Docker
    
    Docker
    
    ストレージ
    
    ネットワーク
    
    コマンド
  - ■ Containerd
    ■ Containerd
    
    Containerd
    
    コマンド
⚙️ IaC
⚙️ IaC
- IaC
- ■ 手続き型
  ■ 手続き型
  - ■ Ansible
    ■ Ansible
    
    Ansible
    
    コマンド
    
    Playbook
    
    設定ファイル
    
    Ansible Galaxy
  - ■ Docker
    ■ Docker
    
    Dockerfile
    
    コマンド
    
    プラクティス集
- ■ 宣言型
  ■ 宣言型
  - ■ Docker Compose
    ■ Docker Compose
    
    コマンド
    
    docker-compose.yml
  - ■ Packer
    ■ Packer
    
    Packer
    
    template.json
  - ■ Serverless Framework
    ■ Serverless Framework
    
    serverless.yml
    
    コマンド
  - ■ Terraform
    ■ Terraform
    
    コマンド
    
    設定ファイル
    
    ■ tfファイル
    ■ tfファイル
    
    ブロック
    
    モジュール
    
    ■ プロバイダー
    ■ プロバイダー
    
    AWSプロバイダー
    
    Kubernetesプロバイダー
    
    CI/CDパイプライン
    
    ■ プラクティス集
    ■ プラクティス集
    
    プラクティス集
    
    tfstateファイル分割
  - ■ Vagrant
    ■ Vagrant
    
    Vagrantfile
    
    コマンド
☸️ K8s
☸️ K8s
- ■ Kubernetes
  ■ Kubernetes
- ■ プラクティス集
  ■ プラクティス集
- ■ Kubernetesリソース
  ■ Kubernetesリソース
  - Kubernetesリソース
  - ■ リソース定義
    ■ リソース定義
    
    リソース定義
    
    共通項目
    
    AWS EKS
- ■ カスタムリソース
  ■ カスタムリソース
- ■ 開発
  ■ 開発
  - クライアントパッケージ
  - ■ 開発環境
    ■ 開発環境
    
    ■ Minikube
    ■ Minikube
    
    Minikube
    
    コマンド
    
    ■ Kind
    ■ Kind
    
    コマンド
    
    ■ K3D
    ■ K3D
    
    コマンド
- ■ マニフェスト管理
  ■ マニフェスト管理
  - ■ Helm
    ■ Helm
    
    Helm
    
    ■ コマンド
    ■ コマンド
    
    コマンド
    
    helmプラグイン
    
    ■ チャート
    ■ チャート
    
    チャート
    
    共通項目
    
    関数
    
    プラクティス集
    
    ■ Helmfile
    ■ Helmfile
    
    Helmfile
    
    コマンド
  - ■ Kustomize
    ■ Kustomize
    
    Kustomize
    
    コマンド
    
    プラクティス集
⏬ K8sアドオン
⏬ K8sアドオン
- ■ コントロールプレーンアドオン
  ■ コントロールプレーンアドオン
  - admission-controllers
- ■ Ingressコントローラーアドオン
  ■ Ingressコントローラーアドオン
  - Ingressコントローラー
  - ■ AWS Load Balancerコントローラー
    ■ AWS Load Balancerコントローラー
    
    AWS Load Balancerコントローラー
    
    リソース定義
  - ■ Nginx Ingressコントローラー
    ■ Nginx Ingressコントローラー
    
    Nginx Ingressコントローラー
    
    リソース定義
- ■ ハードウェアリソース管理アドオン
  ■ ハードウェアリソース管理アドオン
  - addon-resizer
  - cluster-autoscaler
  - descheduler
  - metrics-server
  - ■ Karpenter
    ■ Karpenter
    
    Karpenter
    
    リソース定義
- ■ ネットワークアドオン
  ■ ネットワークアドオン
  - CNI
  - ExternalDNS
  - ■ CoreDNS
    ■ CoreDNS
    
    CoreDNS
    
    設定ファイル
- ■ Secretアドオン
  ■ Secretアドオン
  - ■ SecretsストアCSIドライバー
    ■ SecretsストアCSIドライバー
    
    SecretsストアCSIドライバー
    
    ︎リソース定義
  - ■ ExternalSecretsOperator
    ■ ExternalSecretsOperator
    
    ExternalSecretsOperator
- ■ クラウドプロバイダーアドオン
  ■ クラウドプロバイダーアドオン
  - ■ AWS EKSアドオン
    ■ AWS EKSアドオン
    
    AWS EKSアドオン
    
    AWS EBS CSIドライバー
    
    AWS VPC CNI
    
    AWS OpenTelemetry Collector Operator
🌊 CNCF
🌊 CNCF
- ■ ArgoCD
  ■ ArgoCD
  - ArgoCD
  - コマンド
  - プラクティス集
  - ■ リソース定義
    ■ リソース定義
    
    リソース定義
    
    共通項目
    
    プラグイン
    
    認証/認可系
    
    ConfigMap系
    
    Secret系
    
    Job系
- ■ ArgoWorkflow
  ■ ArgoWorkflow
  - ArgoWorkflow
  - リソース定義
- ■ CertManager
  ■ CertManager
  - リソース定義
- ■ FluentBit/Fluentd
  ■ FluentBit/Fluentd
  - FluentBit/Fluentd
  - ■ FluentBit
    ■ FluentBit
    
    設定ファイル
    
    コマンド
    
    リソース定義
- ■ Grafana
  ■ Grafana
  - Grafana
  - ■ リソース定義
    ■ リソース定義
    
    リソース定義
    
    ConfigMap
    
    ダッシュボード
- ■ Kyverno
  ■ Kyverno
  - Kyverno
  - リソース定義
- ■ Istio
  ■ Istio
  - Istio
  - コントロールプレーン
  - データプレーン
  - コマンド
  - プラクティス集
  - IstioOperator
  - ■ リソース
    ■ リソース
    
    リソース
    
    ■ リソース定義
    ■ リソース定義
    
    リソース定義
    
    メタデータ
    
    ConfigMap系
    
    Secret系
- ■ Jaeger
  ■ Jaeger
  - Jaeger
- ■ Kaniko
  ■ Kaniko
- ■ Kiali
  ■ Kiali
  - Kiali
  - ■ リソース定義
    ■ リソース定義
    
    ConfigMap系
- ■ OpenPolicyAgent
  ■ OpenPolicyAgent
  - OpenPolicyAgent
- ■ OpenTelemetry
  ■ OpenTelemetry
  - OpenTelemetry
  - リソース定義
  - ■ OpenTelemetry Collector
    ■ OpenTelemetry Collector
    
    OpenTelemetry Collector
    
    設定ファイル
- ■ Prometheus
  ■ Prometheus
  - Prometheus
  - 設定ファイル
  - リソース定義
  - Exporter
  - ■ メトリクス
    ■ メトリクス
    
    メトリクス
    
    PromQL
    
    クライアントパッケージ
- ■ VCluster
  ■ VCluster
  - VCluster
♾️ DevOps
♾️ DevOps
- ■ DevOps
  ■ DevOps
  - DevOps
  - ■ SREing
    ■ SREing
    
    SREing
    
    アンチパターン
  - ■ Platform Engineering
    ■ Platform Engineering
    
    Platform Engineering
- ■ 技術的要素
  ■ 技術的要素
  - ■ ドキュメンテーション
    ■ ドキュメンテーション
    
    ドキュメンテーション
    
    Mermaid
- ■ 技術的要素
  ■ 技術的要素
  - 文化
🔄 CI/CD
🔄 CI/CD
- CI/CD
- デプロイ手法
- ■ CIツール
  ■ CIツール
  - GitHub Actions
  - GitLab CI
  - Capistrano
  - ■ CircleCI
    ■ CircleCI
    
    CircleCI
    
    config.yml
    
    orbs
    
    プラクティス集
  - ■ Skaffold
    ■ Skaffold
    
    skaffold.yaml
    
    コマンド
- ■ CDツール
  ■ CDツール
  - ArgoCD
- ■ 自動レビューツール
  ■ 自動レビューツール
🔎 可観測性
🔎 可観測性
- 可観測性
- ■ 監視
  ■ 監視
- ■ テレメトリー
  ■ テレメトリー
- ■ テレメトリー収集ツール
  ■ テレメトリー収集ツール
  - テレメトリー収集ツール
  - FluentBit/Fluentd
  - Grafana
  - Jaeger
  - Prometheus
  - ■ OpenTelemetry
    ■ OpenTelemetry
    
    OpenTelemetry
    
    ■ 分散トレース
    ■ 分散トレース
    
    クライアントパッケージ
    
    Go
    
    Python
  - ■ Datadog
    ■ Datadog
    
    datadogエージェントの設定
    
    監視
    
    インテグレーション
    
    ■ テレメトリー収集
    ■ テレメトリー収集
    
    メトリクス収集
    
    ログ収集
    
    ■ 分散トレース収集
    ■ 分散トレース収集
    
    分散トレース収集
    
    クライアントパッケージ
    
    テレメトリー間の紐づけ
  - ■ Googleアプリ
    ■ Googleアプリ
    
    Googleアナリティクス
    
    Googleサーチコンソール
- ■ インシデント管理ツール
  ■ インシデント管理ツール
  - PagerDuty
👥 開発手法
👥 開発手法
- 開発手法論
- 組織論
- プロジェクト管理
- ■ バージョン管理
  ■ バージョン管理
  - ■ Git
    ■ Git
    
    コマンド
    
    GitHub

kics＠脆弱性診断¶

はじめに¶

本サイトにつきまして、以下をご認識のほど宜しくお願いいたします。

https://hiroki-it.github.io/tech-notebook/

01. kicsの仕組み¶

検出項目¶

特にKubernetesで報告されたCVEに基づいて、マニフェストの実装方法に起因する脆弱性を検証する。

Regoでカスタムポリシーを実装できる。

02. セットアップ¶

$ brew install kics

https://pluto.docs.fairwinds.com/installation/

03. オプション¶

scan¶

▼ scanとは¶

ファイルから脆弱性を検出する。

https://docs.kics.io/latest/commands/#scan_command_options

▼ --exclude-severities¶

検出から除外する重要度レベル (info、low、medium、high) を設定する。

# highレベルのみを検出する
$ kics scan -p <パス> --exclude-severities info,low,medium

https://github.com/Checkmarx/kics/blob/master/docs/commands.md

▼ -p¶

ディレクトリ内のファイルを再帰的に処理する。

$ kics scan -p <パス>

▼ --no-progress¶

処理実行時のプログレスバーを非表示にする。

$ kics scan --no-progress -p <パス>