OpenSource-Hub
T

trivy

SHA-256
35.5k stars·開発ツール·SHA-256 チェックサム確認済み

Trivy は、コンテナ、Kubernetes、コードリポジトリ、クラウド環境などの脆弱性、設定ミス、シークレットをスキャンできる、オールインワンのオープンソースセキュリティスキャナーです。

スマートダウンロード

Download 版をダウンロード

v0.71.0 · 50.1 MB

1つのコマンドでコンテナ、K8s、コードのセキュリティスキャンを完了する

主な機能

  • コンテナイメージ、ファイルシステム、Gitリポジトリ、仮想マシン、K8sなど多様なスキャン対象をサポート
  • 脆弱性検出、設定ミス監査、シークレットスキャン、ライセンス準拠の4大スキャナーを内蔵
  • GitHub Actions、VS Code、Kubernetes Operatorなど主要プラットフォームと統合
  • スキャン結果からSBOM(ソフトウェア部品表)を生成可能、複数の出力形式(JSON/表/HTML)をサポート
  • 積極的にメンテナンスされ、コミュニティが活発、35K以上のGitHubスター

できないこと

  • Canary ビルドバージョンには深刻なバグが含まれる可能性があるため、本番環境では使用しないでください。大規模なイメージやリポジトリをスキャンする際は、キャッシュを有効にして(--cache-dir でキャッシュパスを指定)重複ダウンロードを避けることを推奨します。一部のプログラミング言語(Java など)では、依存関係解決ツールを追加で設定しないと脆弱性を正確に検出できません。

使用例

  • CI/CDパイプラインにおいてコンテナイメージとコードリポジトリのセキュリティ問題を自動スキャンする
  • Kubernetesクラスタの設定コンプライアンスチェックと秘密鍵漏洩検出

詳細説明

Trivyは、Aqua Securityが提供するオールインワンのオープンソースセキュリティスキャナです。コンテナイメージ、ファイルシステム、Gitリポジトリ、仮想マシンイメージ、Kubernetesなど多様な対象をスキャンし、既知の脆弱性(CVE)、Infrastructure as Code(IaC)の設定ミス、機密情報(シークレット)、ソフトウェア部品表(SBOM)、ライセンス問題を検出できます。他のセキュリティツール(コンテナ専用のClairやシークレット専用のGitLeaksなど)と比較して、Trivyは脆弱性検出、設定監査、シークレットスキャン、ライセンスコンプライアンスを単一のバイナリに統合し、開発から本番までの全プロセスをカバーします。ほとんどのプログラミング言語とプラットフォームをネイティブにサポートし、GitHub Actions、VS Code、K8s Operatorに統合可能で、完全にオープンソースです。

トラブルシューティング & FAQ (1)

トラブル対応
TrivyでTerraformをスキャンする際に'panic: value is null'が発生した場合の対処方法

これは既知のバグ(GitHub issue #10720)であり、Terraformのマップ/オブジェクト属性に未解決の変数参照が含まれている場合に発生します。修正では、AsString()を呼び出す前にnullチェックを追加します。回避策:パッチを適用してソースからビルドする(AsMapValue内のガードに!val.IsNull()を追加)か、スキャン前にすべての変数が解決されていることを確認してください。このバグは次のリリースで修正される予定です。

参照 Issue #10720

タグ

securityvulnerability-scannercontainer-securitykubernetesdevsecops

はじめ方

1

インストーラをダウンロード

上のボタンをクリックして、お使いのシステム用のインストーラをダウンロード

2

ソフトウェアをインストール

ディストリビューションに合ったパッケージをインストール(dpkg / rpm / AppImage)

3

macOSユーザーはHomebrewでインストール:brew install trivy

4

Dockerユーザーは直接実行:docker run aquasec/trivy image python:3.4-alpine

5

Linux/WindowsユーザーはGitHub Releasesから対応プラットフォームのバイナリファイルをダウンロード

インストールガイド
  1. macOSユーザーはHomebrewでインストール:brew install trivy
  2. Dockerユーザーは直接実行:docker run aquasec/trivy image python:3.4-alpine
  3. Linux/WindowsユーザーはGitHub Releasesから対応プラットフォームのバイナリファイルをダウンロード
ファイルの整合性

SHA-256 チェックサム確認済み

GitHub 公式 Release ページから抽出されたチェックサム

SHA256 チェックサム

382250158fb9431ff9b87904205027b066a544234b8952b2dd764bd712d55387

このチェックサムは GitHub Release ページから抽出されたものです。ダウンロード後にファイルの整合性を確認してください。

本プラットフォーム上のすべての SHA-256 チェックサムは、プロジェクトの公式 GitHub Release ページから抽出されたもので、一切の改変はありません。GitHub Releases ページで独自に検証できます。

オープンソースの透明性

GitHub ソースを見る
環境ガイド

アンインストール情報

Homebrew でインストールした場合は brew uninstall trivy でアンインストールします。Docker ユーザーはイメージを削除すればよいです。手動でインストールした場合はダウンロードしたバイナリファイルを削除します。

追加の依存関係なし

ダウンロード後すぐに使用可能。追加のランタイムは不要です。

プロジェクト情報
ライセンスApache-2.0
最終更新2026-06-27 13:50:10
GitHub リポジトリ公式サイト

問題が発生?以下のFAQを確認

1 FAQ

類似プロジェクト