Trivy
Trivy とは何ですか?
TrivyAqua Security が提供する単一バイナリのオープンソーススキャナで、コンテナイメージ・ファイルシステム・Git リポジトリ・Kubernetes クラスタの CVE、設定ミス、シークレット、SBOM、ライセンス問題を検出する。
Trivy は Aqua Security が開発した Apache 2.0 ライセンスの脆弱性・設定スキャナで、CNCF 志向のコンテナ CI/CD で事実上の標準として広く利用されています。単一の Go バイナリとして配布され、毎日更新される脆弱性データベース(NVD、Red Hat OVAL、GitHub Advisory、Aqua 独自フィード)を取得し、OS パッケージ、言語依存(npm、PyPI、Maven、Go モジュール、Cargo など)、Dockerfile、Terraform、Kubernetes マニフェスト、Helm チャート、AWS アカウントをスキャンします。CycloneDX または SPDX 形式の SBOM を生成でき、ハードコードされた AWS キーや GitHub トークンを検出し、Trivy Operator を介して GitHub Actions、GitLab CI、Jenkins、Admission Controller と統合できます。Falco と組み合わせてビルド時とランタイムの両方をカバーする運用が一般的です。
● 例
- 01
CI で "trivy image myapp:1.4" を実行し、HIGH または CRITICAL の CVE があればパイプラインを失敗させる。
- 02
"trivy config ." で Terraform プランを検査し、公開された S3 バケットを発見する。
● よくある質問
Trivy とは何ですか?
Aqua Security が提供する単一バイナリのオープンソーススキャナで、コンテナイメージ・ファイルシステム・Git リポジトリ・Kubernetes クラスタの CVE、設定ミス、シークレット、SBOM、ライセンス問題を検出する。 サイバーセキュリティの 防御と運用 カテゴリに属します。
Trivy とはどういう意味ですか?
Aqua Security が提供する単一バイナリのオープンソーススキャナで、コンテナイメージ・ファイルシステム・Git リポジトリ・Kubernetes クラスタの CVE、設定ミス、シークレット、SBOM、ライセンス問題を検出する。
Trivy はどのように機能しますか?
Trivy は Aqua Security が開発した Apache 2.0 ライセンスの脆弱性・設定スキャナで、CNCF 志向のコンテナ CI/CD で事実上の標準として広く利用されています。単一の Go バイナリとして配布され、毎日更新される脆弱性データベース(NVD、Red Hat OVAL、GitHub Advisory、Aqua 独自フィード)を取得し、OS パッケージ、言語依存(npm、PyPI、Maven、Go モジュール、Cargo など)、Dockerfile、Terraform、Kubernetes マニフェスト、Helm チャート、AWS アカウントをスキャンします。CycloneDX または SPDX 形式の SBOM を生成でき、ハードコードされた AWS キーや GitHub トークンを検出し、Trivy Operator を介して GitHub Actions、GitLab CI、Jenkins、Admission Controller と統合できます。Falco と組み合わせてビルド時とランタイムの両方をカバーする運用が一般的です。
Trivy からどのように防御しますか?
Trivy に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
Trivy の別名は何ですか?
一般的な別名: Aqua Trivy。
● 関連用語
- defense-ops№ 212
コンテナイメージスキャン
OCI/Docker イメージをコンテナランタイムへデプロイする前に、既知の脆弱性・シークレット・マルウェア・ポリシー違反を解析するセキュリティ実践。
- vulnerabilities№ 259
CVE(共通脆弱性識別子)
公開された各ソフトウェア・ハードウェア脆弱性に一意の識別子を付与し、業界全体で曖昧さなく参照できるようにする公的カタログ。
- defense-ops№ 403
Falco
システムコールや監査イベントをルールエンジンに流し込み、コンテナ・ホスト・Kubernetes の異常を検出するクラウドネイティブなオープンソースのランタイムセキュリティエンジン。