Cloud Native Security Conference 2022 第2弾はTrivy開発者さんの発表についてです。
設定ミス診断機能はいろんなIaCリソースを診断可能。DockerfileやKubernetesに限らずhelmやterraformまでスキャン可能。
ここまでは知っていたのですが、著名なソースコード管理ツールと統合されたり
クレデンシャル情報を検出したり
ライセンススキャンしたり
Kubernetesと統合したり
CSPMの機能も
SBOMやattestationといったソフトウェアサプライチェーンも
なんとOperator化まで
なんというか、とんでもない進化を遂げていたようです。
個人的には、ソフトウェアサプライチェーン関連でin-totoやSLSAは知っていたのですが、chain-benchやCIS Software Supply Chain Security Guideまでは知りませんでした。 違いがほとんど分かっていないのですが、余裕があればCNCFのSoftware Supply Chain Best Practicesあたりと見比べてみたいです。
あと、SBOM機能については、拾える依存関係の範囲やツール間の互換性など、課題も残っているとのことでした。とても参考になりました。