Trivyでコンテナイメージの脆弱性をスキャンしてみよう
コンテナイメージに潜む脆弱性の問題が叫ばれて久しいですが、
「具体的にコンテナイメージの脆弱性のチェックって、どうやるの?」という方も多いのではないでしょうか?
今日は「Trivy」(トリビー)というOSSのコンテナイメージ脆弱性スキャナーを使用して、コンテナイメージの脆弱性スキャンを試してみたいと思います。
Trivyの公式ページURL
https://github.com/aquasecurity/trivy
Trivyのインストール
さっそく、AWSのAmazonLinux2にTrivyをインストールしてみたいと思います。
OSごとのインストール手順は公式サイトに記載されていますが、
今回は、「Install Script」を使用したインストールを試してみたいと思います。
- コマンド
- install.shをダウンロード後、root権限で実行しています
|
1 |
curl -sfL https://raw.githubusercontent.com/aquasecurity/trivy/master/contrib/install.sh | sudo sh -s -- -b /usr/local/bin |
- 実行結果
- 最新版(v0.9.1)が /usr/local/bin/trivy にインストールされました
|
1 2 3 4 5 |
$ curl -sfL https://raw.githubusercontent.com/aquasecurity/trivy/master/contrib/install.sh | sudo sh -s -- - b /usr/local/bin aquasecurity/trivy info checking GitHub for latest tag aquasecurity/trivy info found version: 0.9.1 for v0.9.1/Linux/64bit aquasecurity/trivy info installed /usr/local/bin/trivy |
nginxコンテナイメージのスキャン
では、業務で使用することの多いnginxのコンテナイメージの最新版(1.19.0)をスキャンしてみましょう
- コマンド
|
1 |
$ trivy image nginx:1.19.0 |
スキャン結果の確認
下記のようなスキャン結果が表示されます。結構たくさんの脆弱性が検出されていますね。
このようにTrivyでは簡単にコンテナイメージの脆弱性スキャンが行えます。
“コンテナイメージの脆弱性スキャンって何?”という人向けのスタートアップに丁度良いツールですね。
次回はJenkinsのジョブからTrivyを実行してみたいと思います。
