컨테이너 이미지 보안

컨테이너 이미지 보안

컨테이너 이미지의 취약점·악성코드·비밀정보 포함 여부를 검사하고 이미지 무결성·출처를 검증하여 안전한 컨테이너 배포를 보장하는 보안 체계

핵심 영역: 취약점 스캐닝(CVE 기반 OS·라이브러리 취약점 검사), SBOM(Software Bill of Materials/이미지 구성요소 목록/공급망 투명성), 이미지 서명(Cosign/Notary/무결성·출처 검증), 비밀정보 탐지(API 키·패스워드 포함 여부 검사)

주요 도구: Trivy(오픈소스/빠름/CVE+비밀+IaC 통합 스캔/CI 통합 용이), Snyk(SaaS/수정 제안/개발자 친화), Clair(오픈소스/정적 분석/Red Hat Quay 통합), Grype(Anchore 오픈소스/SBOM 기반 스캔)

보안 모범사례: 최소 베이스 이미지(distroless/alpine), root 실행 금지(USER 지정), 멀티스테이지 빌드(빌드 도구 제거), CI/CD 파이프라인 스캔 통합(빌드 시 차단), 이미지 서명 정책(서명된 이미지만 배포 허용), 정기 재빌드(최신 패치 적용)

비교: Trivy(빠름/통합스캔/오픈소스) vs Snyk(수정제안/SaaS/상용) vs Clair(정적분석/레지스트리통합/오픈소스)

연관: 컨테이너, 컨테이너 이미지, Docker, SBOM, DevSecOps, CI/CD