対応環境#
管理対象の概要#
FutureVuls で脆弱性を管理できる対象の OS 種別・バージョン情報などを載せています。 スキャナを利用する際のインターネット要件等については「スキャナの導入要件」のマニュアルも参照してください。
FutureVuls では主に以下の対象機器を管理できます。
- サーバ利用環境
- オンプレ
- クラウド:AWS / GCP / Azure
- 閉域網(エアギャップ)環境
- サーバ OS
- Linux
- Windows
- アプリケーション言語ライブラリ
- ミドルウェア(Apache httpd...)
- SBOM
- コンテナ
- NVD と JVN に登録されているネットワーク機器や商用製品など
- wpscan.comがサポートする WordPress コア、プラグイン、テーマ
ローカルスキャン#
Linux#
Linuxホストスキャンのサポート対象です。
| ディストリビューション | サポートバージョン |
|---|---|
| Red Hat Enterprise Linux | 7, 8, 9 |
| Amazon Linux | 2, 2022, 2023 |
| Debian | 10, 11, 12, 13 |
| Ubuntu | 14, 16, 18, 20, 22, 24 |
| Oracle Linux | 7, 8, 9 |
| Rocky Linux | 8, 9 |
| AlmaLinux OS | 8, 9 |
| Fedora Linux | 38, 39, 40 |
| openSUSE | tumbleweed |
| openSUSE Leap | 15.4, 15.5, 15.6 |
| SUSE Enterprise | 12, 15 |
- 延長アップデートサポートの対応ステータスは下記のとおりです
- Red Hat Enterprise Linux の EUS は現在のところサポート対象外です
- Ubuntu の ESM は「サポート対象」です
Windows#
Windowsホストスキャンのサポート対象です。
| ディストリビューション | サポートバージョン |
|---|---|
| Windows Server | 2016, 2019, 2022, 2025 |
| Windows | 10, 11 |
ペーストスキャン#
Linux#
Linuxペーストスキャンのサポート対象です。
| ディストリビューション | サポートバージョン |
|---|---|
| Red Hat Enterprise Linux | 7, 8, 9 |
| Amazon Linux | 2, 2022, 2023 |
| Debian | 10, 11, 12 |
| Ubuntu | 14, 16, 18, 20, 22, 24 |
| Rocky Linux | 8, 9 |
| AlmaLinux OS | 8, 9 |
| Fedora Linux | 38, 39 |
| openSUSE | tumbleweed |
| openSUSE Leap | 15.4, 15.5 |
| SUSE Enterprise | 12, 15 |
Windows#
Windowsペーストスキャンのサポート対象です。
| ディストリビューション | サポートバージョン |
|---|---|
| Windows Server | 2016, 2019, 2022, 2025 |
| Windows | 10, 11 |
コンテナイメージスキャン(Trivy)#
Dockerスキャン(Trivy)のサポート対象は、Trivyのドキュメントを参照して下さい。
また、ローカル環境にTrivyをインストールしてスキャンする方法の通常版では、セットアップ可能な環境は次の OS のみです。
- Red Hat Enterprise Linux
- Amazon Linux
- Debian
- Ubuntu
- Rocky Linux
- AlmaLinux OS
- Fedora Linux
- openSUSE
- openSUSE Leap
- SUSE Enterprise
- Oracle Linux
- FreeBSD
Inspectorスキャン#
Amazon Inspector と連携して FutureVuls にスキャン結果を取り込む Inspectorスキャン、ECR 上のコンテナイメージの脆弱性スキャン のサポート対象は、Amazon Inspector のドキュメントを参照してください。
アプリケーション依存ライブラリ#
データソースに情報がないアプリケーションは検知対象外
Trivy が参照しているデータソースに情報がないアプリケーションは検知されません (例: Android OSS など)
アプリケーションのSBOMインポート#
SBOM ツールの使い方やサポート対象のロックファイルは各ツールのドキュメントを参照してください。 各スキャン方式のメリット・デメリットは「スキャン方法の選択肢と特徴>アプリケーションのSBOMをインポート」を参照してください。
- TrivyのサポートするLockfile
- Syftのドキュメント
- イメージスキャンのSPDXにはOS情報が含まれないため、インポートできません
- Vuls / FutureVuls の SBOM
- サポート対象は「LockFileのペーストスキャン」と同様
- SBOM Tool
- ソフトウェア検知にはcomponent-detectionを使用しています
- SPDX v2.2のみサポートします
- CycloneDX Generator (cdxgen)のドキュメント
- Amazon Inspector でサポートされているオペレーティングシステムとプログラミング言語
LockFileのペーストスキャン / Vuls ScannerでLockFileを指定したスキャン#
LockFileのペーストスキャンおよびVuls ScannerでLockFileを指定したスキャンのサポート対象です。
両方式は内部で同じパーサー(scanner.AnalyzeLibrary)を使用しており、ロックファイルの内容のみを解析します。Dev 区別の挙動は同一です。
| Lang | LockFile | ペースト | Vuls Scanner | Dev区別 | Dev判定条件 |
|---|---|---|---|---|---|
| Node.js | package-lock.json | ✓ | ✓ | あり | "dev": true フィールド |
| Node.js | pnpm-lock.yaml | ✓ | ✓ | あり | devDependencies セクション |
| Node.js | bun.lock | ✓ | ✓ | あり | devDependencies セクション |
| Node.js | yarn.lock | ✓ | ✓ | なし | ー |
| Python | poetry.lock | ✓ | ✓ | あり | category = "dev" または groups に "main" を含まない |
| Python | uv.lock | ✓ | ✓ | あり | dev-dependencies セクション |
| Python | Pipfile.lock | ✓ | ✓ | なし | "develop" セクションの依存は完全除外 |
| Python | requirements.txt | ✓ | ✓ | なし | ー |
| PHP | composer.lock | ✓ | ✓ | あり | "packages-dev" セクション |
| Java | gradle.lockfile | ✓ | ✓ | あり | classpath がすべて test で始まる |
| Java | pom.xml | ✓ | ✓ | なし | <scope>test</scope> の依存は完全除外 |
| Java | JAR, WAR, EAR, PAR | - | ✓ | なし | ー |
| .NET | packages.lock.json | ✓ | ✓ | なし | ー |
| Go | go.mod | ✓ | ✓ | なし | ー |
| Go | go.sum | - | ✓ | なし | ー |
| Go | Go バイナリ | - | ✓ | なし | ー |
| Rust | Cargo.lock | ✓ | ✓ | なし | ー |
| Rust | Rust バイナリ | - | ✓ | なし | ランタイム以外の依存は完全除外 |
| Ruby | Gemfile.lock | ✓ | ✓ | なし | ー |
| Ruby | .gemspec | - | ✓ | なし | ー |
| C / C++ | conan.lock | ✓ | ✓ | なし | ー |
| Elixir | mix.lock | ✓ | ✓ | なし | ー |
| Dart | pubspec.lock | ✓ | ✓ | なし | ー |
| Swift | Package.resolved | ✓ | ✓ | なし | ー |
| Swift | Podfile.lock (CocoaPods) | ✓ | ✓ | なし | ー |
Dev 区別列の意味
- あり: ロックファイルの形式上、開発用依存と本番用依存を区別できます。デフォルトでは devDependencies はスキャン結果から除外されます。Lockfile 追加時に「開発用依存関係を含める」オプションを有効にすると、[DevDependency] バッジ付きでスキャン結果に含まれます。
- なし: ロックファイルの形式上、開発用依存と本番用依存を区別できないため、すべての依存がスキャン結果に含まれます。
pnpm-lock.yaml のバージョンによる違い
pnpm-lock.yaml は lockfileVersion によって Dev 判定の挙動が異なります。
- v9 以降:
importersセクションのdevDependenciesから Dev 判定を行い、[DevDependency] バッジ付きでスキャン結果に含めることができます(Trivy ドキュメント: "Trivy supports Dev field for pnpm-lock.yaml v9 or later")。 - v5〜v8: Dev 依存は Trivy のパーサーにより完全に除外されます。「開発用依存関係を含める」オプションに関わらず、常にスキャン結果から削除されます。
Pipfile.lock の特殊ケース
Pipfile.lock の "develop" セクションに含まれる依存関係は、Trivy のパーサーにより完全に除外されます。パーサーは "default" セクションのみを読み取るため、"develop" セクションのパッケージは「開発用依存関係を含める」オプションに関わらず、常にスキャン結果から削除されます(Trivy v0.69.1 時点)。
pom.xml の特殊ケース
Maven の <scope>test</scope> が指定された依存関係は、Trivy により完全に除外されます。Trivy は import、compile、runtime および空のスコープのみをスキャン対象とし、test スコープは常にスキャン結果から削除されます(Trivy ドキュメント)。
Trivyでファイルシステム上のパスを指定したスキャン#
Trivyでファイルシステム上のパスを指定したスキャン のサポート対象は、「Trivyドキュメント」の「Filesystem 列」を参照してください。
Trivy はファイルシステムにアクセスできるため、ロックファイル単体の解析に加え、周辺ファイルを自動的に読み取ることで Dev 判定の精度が向上します。以下のロックファイルは、ペーストスキャン / Vuls Scanner では得られない Dev 区別が可能です。
| Lang | LockFile | 周辺ファイル | Dev判定条件 |
|---|---|---|---|
| Node.js | yarn.lock | package.json |
devDependencies セクション |
| Python | poetry.lock | pyproject.toml |
[tool.poetry.group.dev.dependencies] セクション |
| PHP | composer.lock | composer.json |
require-dev セクション |
| Rust | Cargo.lock | Cargo.toml |
[dev-dependencies] の依存は完全除外 |
上記以外のロックファイルの Dev 区別は、ペーストスキャン / Vuls Scanner と同じです。 詳細は Trivy ドキュメントの各言語ページ(Node.js、Python、Java など)の「Dev」列を参照してください。
また、ローカル環境にTrivyをインストールしてスキャンする方法の通常版では、セットアップ可能な環境は次の OS のみです。
- Red Hat Enterprise Linux
- Amazon Linux
- Debian
- Ubuntu
- Rocky Linux
- AlmaLinux OS
- Fedora Linux
- openSUSE
- openSUSE Leap
- SUSE Enterprise
- Oracle Linux
- FreeBSD
CPEスキャン#
FutureVulsの画面上でCPEを登録する方法は、NVD と JVN に登録されている製品が検知対象です。
WordPressスキャン#
WordPressスキャンは、wpscan.comがサポートする WordPress コア、プラグイン、テーマが対象です。
SSM連携#
「SSM連携スキャン」は、FutureVuls 上で EC2インスタンスを選択し、オンデマンドでスキャンできる機能です。
「SSM連携パッケージアップデート」は、FutureVuls 上でタスクを選択し、関連する EC2インスタンスに含まれるパッケージをアップデートできる機能です。
| ディストリビューション | SSM連携スキャン | SSM連携パッケージアップデート |
|---|---|---|
| Red Hat Enterprise Linux | ✓ | ✓ |
| Amazon Linux | ✓ | ✓ |
| Debian | ✓ | ✓ |
| Ubuntu | ✓ | ✓ |
| Oracle Linux | ✓ | - |
| Rocky Linux | ✓ | - |
| AlmaLinux8 | ✓ | - |
| SUSE Enterprise | ✓ | - |