Docker イメージの脆弱性検査ができる「Trivy」を使ってみた

Docker イメージの脆弱性診断ができる、Trivy というツールがリリースされていたのでお試し。

• CIで使えるコンテナの脆弱性スキャナ - Qiita

日本人が作成されたそうで、上の Qiita は作者本人による詳細な使い方が記載されている。GitHub リポジトリは以下。

• GitHub - knqyf263/trivy: A Simple and Comprehensive Vulnerability Scanner for Containers, Suitable for CI

MacOS Mojave を使っていたので、インストールは Homebrew で以下のとおり。

$ brew tap knqyf263/trivy
$ brew install knqyf263/trivy/trivy

診断するには、Docker イメージを生成して、以下のようにコマンドを実行する。

# カレントディレクトリの Dockerfile を使用してイメージをビルドする
$ docker build --tag my-image:v1 ./

# イメージ名を指定して脆弱性診断する
$ trivy my-image:v1

CentOS 7 系のイメージをベースに使って試したのだが、

Total: 645 (UNKNOWN: 0, LOW: 67, MEDIUM: 470, HIGH: 98, CRITICAL: 10)

とのことで、様々な脆弱性情報を総合的に診断してくれていることが分かる。

こういうのって脆弱性をゼロにするべきなのかな？勿論あえて脆弱性を残しておくつもりはないけど、ベースイメージの脆弱性を含めて645件って…対応しきれなくない…？とはいえ、知らないでいるよりは良いか。