trivy
SHA-256Trivy は、コンテナ、Kubernetes、コードリポジトリ、クラウド環境などの脆弱性、設定ミス、シークレットをスキャンできる、オールインワンのオープンソースセキュリティスキャナーです。
スマートダウンロード
Download 版をダウンロード
v0.71.0 · 50.1 MB
1つのコマンドでコンテナ、K8s、コードのセキュリティスキャンを完了する
主な機能
- コンテナイメージ、ファイルシステム、Gitリポジトリ、仮想マシン、K8sなど多様なスキャン対象をサポート
- 脆弱性検出、設定ミス監査、シークレットスキャン、ライセンス準拠の4大スキャナーを内蔵
- GitHub Actions、VS Code、Kubernetes Operatorなど主要プラットフォームと統合
- スキャン結果からSBOM(ソフトウェア部品表)を生成可能、複数の出力形式(JSON/表/HTML)をサポート
- 積極的にメンテナンスされ、コミュニティが活発、35K以上のGitHubスター
できないこと
- •Canary ビルドバージョンには深刻なバグが含まれる可能性があるため、本番環境では使用しないでください。大規模なイメージやリポジトリをスキャンする際は、キャッシュを有効にして(--cache-dir でキャッシュパスを指定)重複ダウンロードを避けることを推奨します。一部のプログラミング言語(Java など)では、依存関係解決ツールを追加で設定しないと脆弱性を正確に検出できません。
使用例
- CI/CDパイプラインにおいてコンテナイメージとコードリポジトリのセキュリティ問題を自動スキャンする
- Kubernetesクラスタの設定コンプライアンスチェックと秘密鍵漏洩検出
詳細説明
Trivyは、Aqua Securityが提供するオールインワンのオープンソースセキュリティスキャナです。コンテナイメージ、ファイルシステム、Gitリポジトリ、仮想マシンイメージ、Kubernetesなど多様な対象をスキャンし、既知の脆弱性(CVE)、Infrastructure as Code(IaC)の設定ミス、機密情報(シークレット)、ソフトウェア部品表(SBOM)、ライセンス問題を検出できます。他のセキュリティツール(コンテナ専用のClairやシークレット専用のGitLeaksなど)と比較して、Trivyは脆弱性検出、設定監査、シークレットスキャン、ライセンスコンプライアンスを単一のバイナリに統合し、開発から本番までの全プロセスをカバーします。ほとんどのプログラミング言語とプラットフォームをネイティブにサポートし、GitHub Actions、VS Code、K8s Operatorに統合可能で、完全にオープンソースです。
トラブルシューティング & FAQ (1)
トラブル対応TrivyでTerraformをスキャンする際に'panic: value is null'が発生した場合の対処方法
これは既知のバグ(GitHub issue #10720)であり、Terraformのマップ/オブジェクト属性に未解決の変数参照が含まれている場合に発生します。修正では、AsString()を呼び出す前にnullチェックを追加します。回避策:パッチを適用してソースからビルドする(AsMapValue内のガードに!val.IsNull()を追加)か、スキャン前にすべての変数が解決されていることを確認してください。このバグは次のリリースで修正される予定です。
タグ
はじめ方
ソフトウェアをインストール
ディストリビューションに合ったパッケージをインストール(dpkg / rpm / AppImage)
macOSユーザーはHomebrewでインストール:brew install trivy
Dockerユーザーは直接実行:docker run aquasec/trivy image python:3.4-alpine
Linux/WindowsユーザーはGitHub Releasesから対応プラットフォームのバイナリファイルをダウンロード
- macOSユーザーはHomebrewでインストール:brew install trivy
- Dockerユーザーは直接実行:docker run aquasec/trivy image python:3.4-alpine
- Linux/WindowsユーザーはGitHub Releasesから対応プラットフォームのバイナリファイルをダウンロード
SHA-256 チェックサム確認済み
GitHub 公式 Release ページから抽出されたチェックサム
SHA256 チェックサム
382250158fb9431ff9b87904205027b066a544234b8952b2dd764bd712d55387このチェックサムは GitHub Release ページから抽出されたものです。ダウンロード後にファイルの整合性を確認してください。
本プラットフォーム上のすべての SHA-256 チェックサムは、プロジェクトの公式 GitHub Release ページから抽出されたもので、一切の改変はありません。GitHub Releases ページで独自に検証できます。
オープンソースの透明性
GitHub ソースを見るアンインストール情報
Homebrew でインストールした場合は brew uninstall trivy でアンインストールします。Docker ユーザーはイメージを削除すればよいです。手動でインストールした場合はダウンロードしたバイナリファイルを削除します。
追加の依存関係なし
ダウンロード後すぐに使用可能。追加のランタイムは不要です。
問題が発生?以下のFAQを確認
1 FAQ