日本人が作成したOSSのセキュリティソフト Trivy について調べてみました。
Trivy とは?読み方
Trivy は、日本製・国産のコンテナイメージ用の脆弱性をスキャンして調査するツールでしたが、イスラエルのAqua Security社に買収されました。
現在は、Aqua Security社の製品のようです。
買収の経緯は作者がコチラのブログに記載しています。
・https://knqyf263.hatenablog.com/entry/2019/08/20/120713
Trivyの読み方は、トリビーのようです。
Trivyの公式サイトはコチラです。
・https://github.com/aquasecurity/trivy
Trivyのインストール、使い方
CentOS 7の場合、yum でインストールできるっぽい記載があった。
|
1 2 3 4 5 6 7 8 |
$ sudo vim /etc/yum.repos.d/trivy.repo [trivy] name=Trivy repository baseurl=https://aquasecurity.github.io/trivy-repo/rpm/releases/$releasever/$basearch/ gpgcheck=0 enabled=1 $ sudo yum -y update $ sudo yum -y install trivy |
これだと、エラーが出てインストールできなかったので直接、rpm からインストールしてみた。
以下にイメージが置いてあります。
・https://github.com/aquasecurity/trivy/releases
|
1 |
$ rpm -ivh https://github.com/aquasecurity/trivy/releases/download/v0.7.0/trivy_0.7.0_Linux-64bit.rpm |
使い方はコチラをご覧ください。
本家サイト
・https://hub.docker.com/r/aquasec/trivy/
classmethod
・https://dev.classmethod.jp/articles/trivy_poc/
脆弱性スキャナ Vuls
Trivyとよく比較されるソフトウェアとして、Vlus があります。
こちらも日本製です。
コメント