Trivy超入門

• 概要
• 環境
• インストール
• docker イメージのスキャン
• ローカルにあるファイルをスキャン
• 再帰的にスキャンするには
• 最後に
• 参考サイト

概要

Trivy はオープンソースの脆弱性チェックツールです
今回はインストールから簡単な実行方法まで紹介します

環境

• Ubuntu 18.04
• trivy 0.35.0

インストール

• sudo apt-get install wget apt-transport-https gnupg lsb-release
• wget -qO - https://aquasecurity.github.io/trivy-repo/deb/public.key | gpg --dearmor | sudo tee /usr/share/keyrings/trivy.gpg > /dev/null
• echo "deb [signed-by=/usr/share/keyrings/trivy.gpg] https://aquasecurity.github.io/trivy-repo/deb $(lsb_release -sc) main" | sudo tee -a /etc/apt/sources.list.d/trivy.list
• sudo apt-get update
• sudo apt-get install trivy

docker イメージのスキャン

• trivy image python:3.10.2-buster

ローカルにあるファイルをスキャン

• trivy fs --security-checks vuln,secret,config proj/path/to/secret.py
• trivy fs --security-checks vuln,secret,config proj/path/to/docker
• trivy fs --security-checks vuln,secret,config proj/path/to/Pipfilie.lock

シークレットなどを管理している python ファイルを指定したり Pipfile.lock や Dockerfile がある場所を指定します

再帰的にスキャンするには

どうやらないようです
https://github.com/aquasecurity/trivy/issues/1302

スキャン対象のファイルを特定して指定するしかないようです

最後に

Trivy を試してみました
インストールから実行するまではかなり簡単に試せるようです
基本的にはイメージにしてからそれをスキャンする形になると思います

がイメージによっては本質ではない ImageMagic やら関係のない CVE ばかり出てくるのでチェック対象を絞ってスキャンをする必要がありそうです

参考サイト

• https://github.com/aquasecurity/trivy