Trivy(トリヴィ)は2019年にAqua Security社が公開したオープンソースの脆弱性スキャナで、コンテナイメージ、ファイルシステム、Gitリポジトリ、Kubernetesクラスタなどを単一バイナリで走査できる。従来のClairやAnchoreと比べて導入が圧倒的に容易で、CI/CDパイプラインへの組み込みが数分で完了するため、急速にデファクトスタンダードの座を確立した。Apache 2.0ライセンスで提供されており、商用利用も無償である。
この記事の目次
- Trivyが検出する領域
- CI/CD連携の容易さ
- Aqua商用版との関係
- Kubernetes向けOperator
- まとめ
Trivyが検出する領域
Trivyの検出対象は4領域に整理できる。第一にコンテナイメージのOSパッケージ脆弱性(Alpine、Debian、Ubuntu、RHEL等)と言語ランタイム依存(npm、pip、Bundler、Composer等)。第二にIaCの設定不備(Terraform、CloudFormation、Kubernetes、Dockerfile)。第三にシークレットの誤コミット検出。第四にライセンス情報のSBOM化だ。
これらを単一CLIで実行できる点が「全部入り感」を生み、開発者の学習コストを下げた。脆弱性データベースはNVD、Red Hat、Debian、Alpine SecDB等の公式アドバイザリーを統合しており、起動時に自動更新される。インターネット非接続環境向けのオフラインモードも整備されており、エアギャップ環境でも活用しやすい。
CI/CD連携の容易さ
Trivyの最大の魅力はインストールから初回スキャンまでの時間が短いことにある。Dockerイメージとして提供されるためCIに1行追加するだけで動作し、出力形式はJSON、SARIF、CycloneDX、SPDXに対応する。GitHub ActionsではSARIFをGHASのCode Scanningに連携できるため、Trivyで検出した脆弱性をPRレビュー画面に統合表示できる。
終了コード制御で「Critical以上の脆弱性が見つかったらCIを落とす」というポリシーも簡単に設定できる。商用ツールにありがちなライセンス交渉やSSO設定を経ずに、OSSとして即座に試して導入できる手軽さが、スタートアップから大企業まで幅広く採用される理由となっている。Renovateと組み合わせれば、コンテナベースイメージのバージョン管理も自動化できる。
Aqua商用版との関係
TrivyはOSSとしてフル機能を提供するが、Aqua社の商用プラットフォーム「Aqua Enterprise」と連携することで、結果の一元管理、ランタイム保護、ポリシー適用などエンタープライズ要件に対応できる。Tetrate・Sysdig・Snyk Containerなど競合と比較すると、OSS版で完結できる範囲がきわめて広い点がTrivyの独自性だ。
一方で、Trivy単独ではダッシュボードやチケット連携が貧弱で、複数チーム横断の脆弱性管理には別途レポーティング基盤(DefectDojo・Trivy Operatorなど)が必要になる。OSS思想を貫きたい組織はDefectDojoを併用し、商用サポートを求めるならAqua Enterpriseに昇格する、という二段構えの設計が実務的である。
Kubernetes向けOperator
2022年に登場した「Trivy Operator」はKubernetesクラスタ内で常駐し、起動中のPod・Deployment・DaemonSetを自動スキャンしてCRDとして結果を保存する。FalcoやKubescapeのようなランタイムセキュリティとは異なり、Trivy Operatorは静的解析の継続実施に特化しており、「クラスタ内に古いイメージが残っていないか」を継続監視する役割を担う。
Prometheus形式でメトリクスをエクスポートでき、Grafanaで脆弱性件数の推移を可視化する運用が定着しつつある。クラスタ管理者にとって「コンテナを動かしてから気付く」を防ぐ最後のセーフティネットとして機能し、CI時のスキャンと運用時のスキャンを二段構えで実施するベストプラクティスを支える基盤となっている。
まとめ
Trivyは「OSSのまま実用レベル」を実現した稀有な脆弱性スキャナで、コンテナ・IaC・シークレット・ライセンスを単一バイナリで扱える。CI組み込みからKubernetes常駐監視まで段階的に拡張でき、組織の成熟度に応じた使い分けが可能だ。Aqua商用版との連携を含め、コンテナセキュリティの第一選択肢として推奨できる存在である。
※本記事はIT用語辞典の手書きドラフトです。公開前に最新情報・出典を確認のうえ加筆修正してください。
コメント