Trivy

本記事はサーバーワークス Advent Calendar 2023 の8日目の記事です。 qiita.com こんにちは。アプリケーションサービス部の兼安です。 今回はセキュリティのお話です。 日々ソフトウェアの改善を行う中で、スピードとセキュリティの両立にお悩みの方も多いのではないでしょうか。 今回は、脆弱性を管理するSBOMという仕組みを、OSSのTrivyというツールを使ってご紹介します。 trivy.dev 本記事のターゲット 本記事執筆に用いた環境 SBOMとは SBOMを取り巻く状況 Trivyで脆弱性を検知する 終了コードの指定 Trivyの解析結果をSBOM形式で出力する Gi…

「JAWS-UG コンテナ支部 × JAWS-UG 千葉支部 #1 今知りたいコンテナセキュリティ」でLTしてきました。

「Trivy」を使用して、AWS CDKレイヤーでコンテナイメージのスキャンを行うConstructライブラリをConstruct Hubに公開しました。

はじめに 実際に作ったもの ここから先が長すぎて面倒だという方向け なぜVMのスキャンが必要なのか？ 全体像 Trivyの脆弱性検知について 開発する上での課題 アーキテクチャ Storage層 EBS Storage Virtual Machine Image層 Disk Partition層 Logical Volume層 Filesystem層 & File層 苦労したこと&学び 処理が重すぎる問題 仕様書の英語が読めない とにかく人に頼る 巨大なバイナリファイルを読むのが辛い 感謝の念（一番大事） 最後に はじめに 2022年11月にOSSのコンテナ脆弱性検知ツール Trivy に 仮…

Trivyというと、コンテナイメージのスキャン用のツールとして有名だと思います。 例えばDocker Desktopなどの拡張機能を使って利用したり、コマンドラインで使ったり、CI/CDの中でスキャンするなどで利用していると思います。このブログでもtrivyについて、以前取り上げました。 Trivyを使ってみる Docker Desktopに追加されたDocker Extensionを使ってみる 今回はDockerfile/Containerfileのスキャンについて取り上げます。 Dockerfile/Containerfileという名前について コンテナでアプリケーションを実行する場合に必…

DockerやKubernetesが当たり前に使われるようになって、ただこれらのコンテナーツールを便利に使うだけでなく、 安全に使うための工夫が必要になってきています。 コンテナーでアプリケーションを使う上で、コンテナーイメージは重要なパーツの一つです。 コンテナーイメージとはコンテナープラットフォームの上でアプリケーションを動かすための環境を提供するものを指します。 コンテナーではなくネイティブな環境とコンテナーでアプリケーションを実行した場合の関係性を図にしてみると次のようになります。 カーネルと実行ファイル、ライブラリーの上でアプリケーションが実行されているのは共通ですが、コンテナーの場…

こんにちは。NFLabs. 事業推進部の齋藤です。この記事は NFLabs. アドベントカレンダー 14 日目の記事です。 普段は Blue Team の中で利用するシステムの開発をしています。 私は今のチームで DevSecOps の仕組みやツールを色々と試して導入を進めている最中なのですが、その内でも Trivy というコンテナイメージのスキャン機能を持ったツールについて紹介したいと思います。 github.com Trivy の概要 Trivy はアプリケーションの依存ライブラリの脆弱性スキャン機能と IaC の設定ファイルのセキュリティ不備の検出機能を備えたセキュリティスキャンツールで…