セキュリティの穴を一網打尽!コンテナからクラウドまで対応する万能セキュリティスキャナー — trivy
Trivyは、ソフトウェアやインフラのセキュリティ上の問題を自動的に見つけ出す万能スキャナーです。コンテナイメージ(アプリを箱詰めしたもの)、ソースコード、Kubernetes(コンテナの管理基盤)、クラウド環境などを幅広くスキャンし、既知の脆弱性(セキュリティの穴)、設定ミス、うっかり含めてしまったパスワードなどの機密情報、ソフトウェアライセンスの問題を検出してくれます。コマンド1つで手軽に使え、主要なプログラミング言語やOSに対応しているため、開発者やインフラ担当者が日々のセキュリティ対策に活用できます。Aqua Security社が開発するオープンソースプロジェクトで、GitHub ActionsやVS Codeなど多くの開発ツールとも連携可能です。
🔥 なぜ話題?
コンテナやクラウドの利用が当たり前になった現在、サプライチェーン攻撃(ソフトウェアの依存関係を悪用した攻撃)への関心が世界的に高まっており、1つのツールで脆弱性・設定ミス・機密情報漏洩・SBOMをまとめてスキャンできるTrivyの包括的なアプローチが注目を集めています。CI/CDパイプラインへの組み込みが容易な点も、DevSecOps(開発と運用にセキュリティを組み込む手法)の流れの中で評価されています。
💡 こう使える!
例えば、自社のWebサービスで使っているDockerコンテナイメージに対して `trivy image myapp:latest` と実行するだけで、含まれているライブラリに既知のセキュリティホールがないか、設定ファイルに危険な記述がないか、うっかりAPIキーやパスワードが埋め込まれていないかを一括でチェックし、レポートとして表示してくれます。
ユースケース: 開発中のアプリケーションやインフラ環境にセキュリティ上の問題がないかを自動的にチェックし、脆弱性や設定ミスを早期に発見する。
- コンテナ・コード・Kubernetes・クラウドなど幅広いスキャン対象に対応した万能セキュリティスキャナー
- 脆弱性・設定ミス・機密情報漏洩・ライセンス問題・SBOMを1つのツールで検出可能
- GitHub Actions・Kubernetes Operator・VS Code拡張など豊富なエコシステムとの連携
Find vulnerabilities, misconfigurations, secrets, SBOM in containers, Kubernetes, code repositories, clouds and more