tl;dr trivyを利用することで簡単にDocker コンテナの脆弱性の検知をすることが出来る。 OSライブラリからアプリケーション依存のライブラリまで検知が可能 SimpleかつREADMEが豊富で導入の敷居が低い。 CIに組み込むことで DevOps から DevSecOps への移行を加速することが可能。 コンテナの脆弱性 2020/08/06 現在、Dockerを利用するしてプロダクトの環境を作る事がデファクトスタンダードになっている。 どの会社に行ってもセキュリティは最重要視されていると言っても過言ではないが、Docker イメージを生成 or 取得し、そのまま利用を続け、時間が経ち、利用しているライブラリに不具合が生じているのにも関わらず、知らないうちに脆弱性があるContainerを利用しているケースは少なくない。 脆弱性を放置して起きたインシデントは具体的に下記のような