コンテナイメージの裏側を覗こう — Provenance・署名・SBOM の仕組みと活用法

docker build したイメージを push したあとにコンテナレジストリの中身を覗いたことはありますか？ 実はあなたが何も設定しなくても「誰が・いつ・どうビルドしたか」を記録する Provenance が自動でイメージに同梱されていて、更にCI に数行足すだけで、SBOM や暗号署名も追加することができます。 これらを活用すれば、本番障害時に「このイメージはどの commit からビルドされたか」を CI ログを遡ることなく即座に特定でき、新たな CVE が公表された際には SBOM で影響するイメージを一括で把握できます。署名があれば「正規の CI を通っていないイメージはデプロイさせない」という運用も実現できます。 本セッションでは、イメージの内部構造の読み方、CI への署名導入手順、レジストリ内のメタデータ確認方法を実演を交えて解説します。 「自分の構築したイメージの安全性を自分の手で確認・強化できるようにしてコンテナイメージの運用をよりセキュアにしたい」という人にオススメです。