TrivyでCentOSの脆弱性をスキャンしてみた

Trivyという脆弱性スキャナをCentOSにインストールして、スキャンしてみました。
TrivyはOSやコンテナイメージの脆弱性（CVE）をスキャンして表示してくれます。

公式サイト
検証環境
Trivyのインストール
スキャンの実行

公式サイト

検証環境

Trivyのインストール

CentOSにはリポジトリを作成してインストールするか、rpmをダウンロードしてインストールします。リポジトリを作成する方が簡単なので、そちらで行きます。

sudo cat << 'EOS' > /etc/yum.repos.d/trivy.repo
[trivy]
name=Trivy repository
baseurl=https://aquasecurity.github.io/trivy-repo/rpm/releases/$releasever/$basearch/
gpgcheck=0
enabled=1
EOS

sudo yum -y install trivy

スキャンの実行

脆弱性スキャン

初回スキャンはDBの更新があるので時間が掛かります。DBは20MB程度あります。

trivy fs /

f:id:tarenagashi_info:20201123001049p:plain

未修整の脆弱性を無視してスキャン

未修整の脆弱性は無視します。

trivy fs --ignore-unfixed /

f:id:tarenagashi_info:20201123001114p:plain

json形式＆ファイル出力

json形式で出力すると、CVSSスコアやCVEの詳細が確認できます。
※デフォルトの出力形式は「table」

trivy fs -f json -o result.json /

[ f:id:tarenagashi_info:20201123001128p:plain

コンテナイメージのスキャン

trivy i [イメージ名]

たれながし.info

とあるITエンジニアの備忘録