鳩小屋

落書き帳

Cloud Native Security Conference 2022:最近のTrivy

Cloud Native Security Conference 2022 第2弾はTrivy開発者さんの発表についてです。

元祖の脆弱性診断機能はカバレッジや精度も自信ありとのこと。

設定ミス診断機能はいろんなIaCリソースを診断可能。DockerfileやKubernetesに限らずhelmやterraformまでスキャン可能。

ここまでは知っていたのですが、著名なソースコード管理ツールと統合されたり

クレデンシャル情報を検出したり

ライセンススキャンしたり

Kubernetesと統合したり

CSPMの機能も

SBOMやattestationといったソフトウェアサプライチェーン

なんとOperator化まで

なんというか、とんでもない進化を遂げていたようです。

個人的には、ソフトウェアサプライチェーン関連でin-totoやSLSAは知っていたのですが、chain-benchやCIS Software Supply Chain Security Guideまでは知りませんでした。 違いがほとんど分かっていないのですが、余裕があればCNCFのSoftware Supply Chain Best Practicesあたりと見比べてみたいです。

あと、SBOM機能については、拾える依存関係の範囲やツール間の互換性など、課題も残っているとのことでした。とても参考になりました。