FutureVuls > マニュアル > スキャン方法の選択肢と特徴 > Dockerスキャン（Trivy）

Dockerスキャン（Trivy）

trivyのコンテナイメージのスキャン結果をFutureVulsに取り込む

aquasecurity/trivyとは、Dockerイメージの脆弱性を検知するOSSツールです。 FutureVulsではtrivyのスキャン結果を取り込み、FutureVuls上で脆弱性を管理できます。

Amazon ECRやGoogle Container Registryの外部連携を設定することでコンテナレジストリ上にあるDockerイメージの脆弱性スキャンが可能ですが、2021年10月時点ではtrivyのほうが脆弱性の検知精度が高く、イメージ中のライブラリのスキャンが可能なため、trivyを用いた脆弱性スキャンがオススメです。

本ドキュメントでは、以下の２パターンを解説します。

a. コマンドラインでスキャンする方法

前提条件

Linux環境であること

trivy, vulsは最新版をお使いください。もしエラーが発生したら、Trivy, trivy-to-vuls, futue-vulsの各バイナリを最新化してください。最新版で正常に動作しない場合は問い合わせください

前準備

FutureVulsの管理画面のURLから、GROUP IDを確認する(下記ピンクの部分)(あとで利用)
任意のUUIDを作成して、FutureVulsのサーバUUIDを決める(あとで使用)
- uuidgen などのコマンドを使ってUUIDを作成
- サーバUUIDはFutureVuls上でサーバの識別に利用されるので、同じイメージには同じUUIDを使い続ける
- 異なるUUIDを指定した場合はFutureVuls上で異なるイメージとして認識される
TOKENはFutureVulsのスキャナトークンを確認する(あとで使用)

スキャン方法

Trivyのインストール

バージョンはこちらから確認できます。最新版をお使いください。

export TRIVY_VERSION=0.x.x
wget https://github.com/aquasecurity/trivy/releases/download/v${TRIVY_VERSION}/trivy_${TRIVY_VERSION}_Linux-64bit.tar.gz
tar zxvf trivy_${TRIVY_VERSION}_Linux-64bit.tar.gz

trivy-to-vulsのインストール

バージョンはこちらから確認できます。最新版をお使いください。

export VULS_VERSION=0.x.x
wget https://github.com/future-architect/vuls/releases/download/v${VULS_VERSION}/trivy-to-vuls_${VULS_VERSION}_linux_amd64.tar.gz
tar zxvf trivy-to-vuls_${VULS_VERSION}_linux_amd64.tar.gz

future-vulsのインストール

バージョンはこちらから確認できます。最新版をお使いください。

export VULS_VERSION=0.x.x
wget https://github.com/future-architect/vuls/releases/download/v${VULS_VERSION}/future-vuls_${VULS_VERSION}_linux_amd64.tar.gz
tar zxvf future-vuls_${VULS_VERSION}_linux_amd64.tar.gz

スキャン対象のDocker imageをbuild

# xxxx/xxxxはイメージ名
docker build . -t xxxx/xxxx

trivyでスキャンして、前作業で調べた情報を元に、その結果をFutureVulsにアップロード

export FVULS_AUTH_URL=https://auth.vuls.biz/one-time-auth
export FVULS_GROUP_ID=xxx
export FVULS_TOKEN=xxx
export FVULS_SERVER_UUID=xxxx

./trivy -q image -f=json --list-all-pkgs xxxx/xxxx | \
./trivy-to-vuls parse --stdin | \
./future-vuls upload --stdin --url ${FVULS_AUTH_URL} --group-id ${FVULS_GROUP_ID}  --token ${FVULS_TOKEN}  --uuid ${FVULS_SERVER_UUID}

画面反映

スキャンが完了したデータは、OSパッケージ同様に「ソフトウェア」、「タスク詳細」などに反映されます。

b. CI/CDパイプラインに組み込む方法(GitHub Actions編)

GitHub ActionsのサンプルYAMLファイルは以下のとおりです。

サンプルでセットしている以下の環境変数はencrypted secretsにてセットして下さい。

FVULS_GROUP_ID: xxx
FVULS_TOKEN: “xxxxxxxx”

この情報を使うとFutureVulsの指定したグループに対して、任意のサーバのスキャン結果のアップロードが可能となってしまいます。

trivy, vulsは最新版をお使いください。最新版で正常に動作しない場合は問い合わせください

name: FutureVuls Docker Image Scan
on:
  push
defaults:
  run:
      shell: bash
jobs:
  docker-test:
    name: FutureVuls Docker Image Scan
    env:
      FVULS_GROUP_ID: xxx
      FVULS_TOKEN: "xxxxxxxx"
      FVULS_AUTH_URL: "https://auth.vuls.biz/one-time-auth"
    runs-on: ubuntu-18.04
    steps:
    - uses: actions/checkout@v1
    - name: cached scan db
      uses: actions/cache@v2
      with:
        path: vulndb/
        key: trivy-vulndb
    - name: install trivy
      env: 
        TRIVY_VERSION: 0.x.x
      run: |
        wget https://github.com/aquasecurity/trivy/releases/download/v${TRIVY_VERSION}/trivy_${TRIVY_VERSION}_Linux-64bit.tar.gz
        tar zxvf trivy_${TRIVY_VERSION}_Linux-64bit.tar.gz
    - name: install trivy-to-vuls
      env: 
        VULS_VERSION: 0.x.x
      run: |
        wget https://github.com/future-architect/vuls/releases/download/v${VULS_VERSION}/trivy-to-vuls_${VULS_VERSION}_linux_amd64.tar.gz
        tar zxvf trivy-to-vuls_${VULS_VERSION}_linux_amd64.tar.gz
    - name: install future-vuls
      env: 
        VULS_VERSION: 0.x.x
      run: |
        wget https://github.com/future-architect/vuls/releases/download/v${VULS_VERSION}/future-vuls_${VULS_VERSION}_linux_amd64.tar.gz
        tar zxvf future-vuls_${VULS_VERSION}_linux_amd64.tar.gz
    - name: scan core-rpc-server by trivy
      env: 
        DOCKERFILE_PATH: "docker/anything/Dockerfile"
        IMAGE_NAME: "fvuls/trivy-scan"
        FVULS_SERVER_UUID: "xxxxxxxx"
      run: |
        docker build . -f ${DOCKERFILE_PATH} -t ${IMAGE_NAME}
        set -eo pipefail
        ./trivy -q --cache-dir vulndb/ image -f=json --list-all-pkgs ${IMAGE_NAME} | \
        ./trivy-to-vuls parse --stdin | \
        ./future-vuls upload --stdin --url ${FVULS_AUTH_URL} --group-id ${FVULS_GROUP_ID}  --token ${FVULS_TOKEN}  --uuid ${FVULS_SERVER_UUID}

正常にスキャンできない場合

正常にスキャンできない場合は以下をお試しください。

trivy単体で実行してエラーが出ていないかチェック(-dはdebugオプション)

./trivy -d -q image image-name

タイムアウト系のエラーが出ている場合はtimeoutオプションを設定する

./trivy -d -q image --timeout=60m image-name

trivyコマンドが正常の場合は、trivy-to-vuls（JSONの変換処理）でエラーが発生しているか確認する

./trivy -d -q image image-name | ./trivy-to-vuls parse --stdin

解決できない場合はお問い合わせください。