Docker イメージの脆弱性検査ができる「Trivy」を使ってみた
Docker イメージの脆弱性診断ができる、Trivy というツールがリリースされていたのでお試し。
日本人が作成されたそうで、上の Qiita は作者本人による詳細な使い方が記載されている。GitHub リポジトリは以下。
MacOS Mojave を使っていたので、インストールは Homebrew で以下のとおり。
$ brew tap knqyf263/trivy
$ brew install knqyf263/trivy/trivy
診断するには、Docker イメージを生成して、以下のようにコマンドを実行する。
# カレントディレクトリの Dockerfile を使用してイメージをビルドする
$ docker build --tag my-image:v1 ./
# イメージ名を指定して脆弱性診断する
$ trivy my-image:v1
CentOS 7 系のイメージをベースに使って試したのだが、
Total: 645 (UNKNOWN: 0, LOW: 67, MEDIUM: 470, HIGH: 98, CRITICAL: 10)
とのことで、様々な脆弱性情報を総合的に診断してくれていることが分かる。
こういうのって脆弱性をゼロにするべきなのかな?勿論あえて脆弱性を残しておくつもりはないけど、ベースイメージの脆弱性を含めて645件って…対応しきれなくない…?とはいえ、知らないでいるよりは良いか。