HOME
Lv060

「Lv060」の記事一覧

PodのSecurityContextで `seccompProfile.type` に `Localhost` を指定し、`localhostProfile` に `profiles/audit.json` と記述した場合、Kubeletはデフォルトでどのディレクトリ下のファイルを探しに行くか。

profiles/audit.jsonは/var/lib/kubelet/seccomp

2026年1月24日

SLSA (Supply-chain Levels for Software Artifacts) レベル3を達成するために、ビルドプロセスに求められる要件の一つはどれか。

ビルドプラットフォーム

2026年1月24日

Kubernetesクラスター全体のRBAC設定を監査し、過剰な権限（Wildcard使用や特権昇格）を持つロールを検出するためのツールはどれか。

kubectl-who-can, rac-tool, krane,

2026年1月24日

コンテナブレイクアウトの手法の一つ「Leaky File Descriptors」攻撃を防ぐために、コンテナランタイムやアプリケーション側で注意すべき点はどれか。

親プロセスが開いた機密ファイルのファイルディスクリプタを、exec時に閉じているか確認する

2026年1月24日

KubeletのTLS Bootstrappingプロセスにおいて、承認されたCSR（証明書署名要求）に基づいて発行される証明書の有効期限が切れた場合、Kubeletはどう振る舞うか。

証明書の有効期限が近づくと、Kubeletは自動的に新しいCSRを作成し、証明書の更新を試みる

2026年1月24日

Falcoの「eBPF Probe」を使用する際、ホストのカーネルヘッダーファイルが必要ない（CO-RE: Compile Once – Run Everywhere）技術を使用するための前提条件はどれか。

BTF をサポートするカーネルが必要

2026年1月24日

NetworkPolicyで、ステートフルなアプリケーション（データベース等）を保護する際、接続の確立（New）と確立済み（Established）の通信を区別して制御することは標準機能で可能か。

標準のNetworkPolicyにはステートフルなファイアウォール機能が備わっている

2026年1月24日

Googleの「Binary Authorization」のような仕組みをOSSで実現するために、KritisやKyverno、Gatekeeperなどと組み合わせて使用される「Attestation（証明）」のメタデータストアは通常何か。

2026年1月24日

「Zero Trust」アーキテクチャの観点から、Kubernetesにおける「Service Account Token Volume Projection」の推奨設定（有効期限、Audience）はどうあるべきか。

有効期限を必要最小限にし、`audience` を特定して

2026年1月24日

Linuxカーネルの「Lockdown Mode」（integrity または confidentiality）が有効なホスト上でコンテナを実行する場合の制限はどれか。

特権コンテナであっても、カーネルメモリへの直接アクセスやKexec、特定のBPF機能など

2026年1月24日