新しいパッケージが利用可能になったときに、不変のインフラストラクチャを自動的に再構築するにはどうすればよいですか？

Terraformを使用してインフラストラクチャの展開を自動化し、Packerを使用してTerraformによって展開されるマシンイメージを作成します。不変のインフラストラクチャ設計原則に従って、パッチが適用された新しいイメージを作成してパッチを実装し、インフラストラクチャを再展開します。

この設定で、ベースイメージ内のパッケージまたはOS自体を更新してビルドパイプラインをトリガーする必要があるときを自動的に検出するために使用できる追加のツールはありますか？

Chef Automateは私が探しているものに近いようですが、イメージマニフェスト自体を分析するのではなく、実行中のノードのコンプライアンスをスキャンするようです。

ありがとう！

不変インフラストラクチャパターンの採用の一部は、システムをCI / CDパイプラインを非常に迅速に移動できる小さな管理可能な部分に分解することです。これは、OSパッチを迅速かつ制御された方法で実行できることを意味します。インフラがほとんど不変である中途半端な家で終わるクライアントをよく目にします。

ただし、これにはクラウドアーキテクチャの大規模な展開で使用したいくつかのアプローチがあり、通常は多層防御戦略の一部として複数を実装します。

• セキュリティ情報およびイベント管理（SIEM）：これらの製品（ LogRhythm Security Intelligence Platformなど）およびElasticStackなどのより一般的な製品は、オペレーティングシステムからフィードを取得します。これには、更新の頻繁なチェックからの出力が含まれます。ここでの秘訣は、何を迅速かつ自動的にパッチすべきかについての情報を取得し、パイプラインを介してそれらをいつロールするかについての決定を通知することです。

• 脆弱性管理システムは、システム全体の脆弱性にのみ焦点を当てているため、システムに展開されたソフトウェアの一部としてインストールされ、オペレーティングシステムによって管理されていないライブラリの問題を検出できるという点で、SIEMよりも調整されています。これにより、パッチがまだ適用されていない（まだ...うまくいけば）脆弱性が明らかになる可能性があります。

• 依存関係チェックツールはパイプラインの一部を形成し、チェックインが脆弱性を追加した場合にビルドを失敗するように構成できます。これは、前回のチェックイン以降にツールに新しい脆弱性が追加された場合にも機能します。

AWS Inspectorで脆弱性スキャンを実行し、CVE脆弱性を探すことができます。インスペクターにはCloudWatchメトリックスがあり、結果が見つかったときにアクションを発生させます。パッケージを更新する必要があるかどうかを判断するのは難しいでしょうが、すべてを更新できます。Inspectorを使用する必要はありません。フックできる脆弱性スキャンツールはすべて機能します。脆弱性スキャンは、一般的にベストプラクティスです。

別のアイデアは、apt-get update && apt-get upgrade —dry-run> stuff-that-should-be-updated.txtを実行するcronジョブをセットアップし、更新するパッケージのリストについてテキストファイルを解析することです。それをビルドプロセスにフィードバックします。

このアプローチはChef監査を使用して目的を解決するように見えますが、それ自体に問題があります。 https://joshuakugler.com/using-chef-zero-audit-mode-and-packer.html

カスタムソリューション-コンプライアンスポリシー（CIS、HIPPAなど）を使用する場合は、実行中のパッケージイメージで監査パーサーを実行し、非準拠ステータスのときに更新タスクに通知するジョブを作成します。上記のポリシーで無料で利用できるOVALパーサーとOVAL定義があります。カスタムaduitポリシーの場合、独自のパーサーを作成してイメージを監査できます。