GitHub ActionsでTrivy（0.19.2）を動かす

最低限動かすにはリポジトリのドキュメントを読めば済む。

関連URL

Trivy

• https://github.com/aquasecurity/trivy
• https://aquasecurity.github.io/trivy/v0.19.2
• https://github.com/aquasecurity/trivy-action

Others

• https://thinkit.co.jp/article/17525
• https://container-security.dev/hardening/cis-benchmark.html
• https://github.com/microsoft/sarif-tutorials
• https://docs.github.com/ja/code-security/secure-coding/automatically-scanning-your-code-for-vulnerabilities-and-errors/about-code-scanning

データソース

OS

各種ベンダーの脆弱性Issueを参照する。（CVE→NVD（CVSS、...）→ベンダー）

langurage

• GAD
• その他

関連URL

• https://aquasecurity.github.io/trivy/v0.19.2/vulnerability/detection/data-source/
• https://www.redhat.com/ja/topics/security/what-is-cve
• https://www.ipa.go.jp/security/vuln/CVE.html

Sarif

主に静的解析ツールの出力形式で使用するJSON標準のファイルフォーマット。OASIS により標準化。
ファイルにはSarifのバージョンや、実行したツール、解析対象ファイル、解析結果を含める。

• https://github.com/microsoft/sarif-tutorials/blob/main/docs/1-Introduction.md
• https://github.com/oasis-tcs/sarif-spec

運用

レジストリに追加するイメージに脆弱性を含めない、という視点に立つとビルド時のワークフローに組み込むべき。

脆弱性を検知した場合の運用ケースを挙げてみる。

• ワークフローは止めないが、Issueはどこかに流す
• ワークフローを止める
• ワークフローを止める + 定期実行（これはビルドしない期間に検出された場合を補完。例えば、新規開発を止めているサービスなど）

参考

• https://www.redhat.com/ja/topics/devops/what-is-devsecops
• https://qiita.com/tomoyamachi/items/e0394e9bcfeb90543e97#trivyを使った運用スタイル

周辺ツール

• Dockle
• hadolint

言語パッケージのデータソースで、一部の言語パッケージは GitHub Advisory Database を参照している。

PHPを例に挙げると、GitHub Advisory Database と PHP Security Advisories Databaseを組み合わせたソースになっている。

https://github.com/lazy-actions/gitrivy Trivyを内包、かつ GitHub Issueを作ってくれるAction