【トリビー】

Trivy とは?

公開:
💡 コンテナのレントゲン撮影で「危険な荷物」を一発検出
📌 このページのポイント
Trivy — 多目的脆弱性スキャナ スキャン対象 コンテナイメージ ファイルシステム IaC(Terraform等) Gitリポジトリ Trivy スキャンエンジン 検出結果 CVE(脆弱性) 設定ミス SBOM 出力 シークレット漏洩 trivy image nginx / trivy fs . / trivy config .
Trivyはコンテナ・IaC・Gitリポジトリを横断スキャンして脆弱性・設定ミス・SBOMを出力する
ひよこ ひよこ
ペンギン先生、Trivyって名前、聞いたことないけど何?
ペンギン先生 ペンギン先生
コンテナイメージやコードの「脆弱性を自動でスキャンしてくれるツール」だよ。Aqua Securityが作ったオープンソースのセキュリティツールだね
ひよこ ひよこ
脆弱性って、古いライブラリに含まれる危険なバグのこと?
ペンギン先生 ペンギン先生
そうだよ!例えばDockerイメージの中に古いOpenSSLが入っていたら「CVE-xxxx-xxxx という既知の脆弱性があるよ」って教えてくれるんだ
ひよこ ひよこ
コンテナ以外にもスキャンできるの?
ペンギン先生 ペンギン先生
できるよ。ファイルシステムGitリポジトリTerraformKubernetesIaCファイルの設定ミス、さらにSBOMソフトウェア部品表)の出力まで全部できるんだ
ひよこ ひよこ
使い方は難しいの?
ペンギン先生 ペンギン先生
すごく簡単だよ。trivy image nginx ってコマンド一発でnginxイメージをスキャンできる。インストールもbrewやDockerで一発だね
ひよこ ひよこ
CI/CDに組み込むこともできるの?
ペンギン先生 ペンギン先生
できるよ。GitHub Actionsの公式アクションもあって、プルリクエストのたびに自動スキャンする仕組みを簡単に作れるんだ。脆弱性が見つかったらCIを失敗させることもできるよ
ひよこ ひよこ
似たツールのGrypeとどう違うの?
ペンギン先生 ペンギン先生
両方とも優秀なんだけど、Trivyはスキャン対象が広くてIaCや設定ミス検出まで対応しているのが強みだよ。Grypeコンテナファイルシステムに特化してSyftと組み合わせて使う設計なんだ
ペンギン
まとめ:ざっくりこれだけ覚えればOK!
「Trivy」って出てきたら「コンテナ脆弱性スキャナ」と思えればだいたいOK!
📖 おまけ:英語の意味
「Trivy」 = トリビー(固有名詞)
💬 「Tri」はTrivial(簡単)からで「誰でも簡単に使える脆弱性スキャナ」というコンセプトを表しているよ
← 用語集にもどる