2026-03 Hotfix リリース内容#
今月の Hotfix リリースでは、以下を修正しました。 リリース内容に関して、ご不明点やご質問がございましたら、サポート窓口にお問い合わせください。
2026-03-04 リリース内容#
スキャナの更新が必要です
スキャナのバージョンが古い場合、一部機能が正しく動作しない可能性がありますので、定期的な更新をお願いします。
Windows用スキャナ vuls v0.38.4 のバグ修正(v0.38.5)#
Windows 用スキャナ vuls v0.38.4 に含まれていたバグを修正し、v0.38.5 をリリースしました。 Linux 用スキャナについても同バージョン v0.38.5 に更新しています。
| 対象 | スキャナバージョン | スキャン実行スクリプト |
|---|---|---|
| Linux用 | [NEW] vuls v0.38.5 | Version: 2025/10 |
| Windows用 | [NEW] vuls v0.38.5 | Version: 2025/04 |
不具合の内容#
Windows 環境でインストール済みパッケージの取得時に、PowerShell の PackageManagement が出力する警告メッセージをパッケージ情報として解析しようとし、スキャンがエラーになる不具合がありました。
Failed to parse installed packages. err:
- Failed to parse property. expected: ["Name : <PackageName>" "Version : <Version>" ProviderName: <ProviderName>" "Publisher : <Publisher>"],
actual: "警告: MSG:UnableToDownload ≪https://go.microsoft.com/fwlink/?LinkID=627338&clcid=0x409≫ ≪≫"
修正内容#
パッケージ情報のパース処理を改善し、PowerShell の警告メッセージが混在していてもスキャンが正常に完了するようになりました。
2026-03-12 リリース内容#
スキャナの更新が必要です
スキャナのバージョンが古い場合、一部機能が正しく動作しない可能性がありますので、定期的な更新をお願いします。
| 対象 | スキャナバージョン | スキャン実行スクリプト |
|---|---|---|
| Trivy | [NEW] v0.69.3 | Version: 2025/04 |
【障害報告とご対応のお願い】Trivyスキャナにおけるソフトウェア情報重複の不具合修正について#
Trivy スキャナを利用したスキャンにおいて、ソフトウェア情報が重複して登録され、それに伴い関連するソフトウェア数が肥大化する不具合が発生しておりました。
本件により、不要な情報が表示され、日々の脆弱性管理業務にご不便をおかけしましたことを深くお詫び申し上げます。
現在は修正が完了しておりますが、該当する環境をご利用のお客様におかれましては、バイナリの更新(再スキャン)を実施していただきますようお願いいたします。
不具合の内容#
Trivy スキャン時、スキャン対象のロックファイルが複数存在する場合に、各ライブラリが全ロックファイルに複製され、サーバ内のソフトウェア数が「実際のソフトウェア数よりも多く表示されてしまう」不具合が発生していました。
また、これに伴い、「関連するソフトウェア」が肥大化してしまう事象も発生していました。
以下、ロックファイルを3つ持つリポジトリをスキャンした場合を例に、今回のケースを説明します。
my-repo/
├── package-lock.json … ライブラリ A, B, C(3個)
├── frontend/
│ └── package-lock.json … ライブラリ D, E(2個)
└── tools/
└── package-lock.json … ライブラリ F(1個)
正常時は各ロックファイルごとにライブラリが個別に登録され、合計 6 個のソフトウェアとなります。
一方、本不具合発生時においては、すべてのロックファイルに全ライブラリが複製され、ソフトウェア数が実際の数より多く登録されていました。
| ロックファイル | 正常時(修正後) | 不具合発生時 |
|---|---|---|
package-lock.json |
A, B, C(3個) | A, B, C, D, E, F(6個) |
frontend/package-lock.json |
D, E(2個) | A, B, C, D, E, F(6個) |
tools/package-lock.json |
F(1個) | A, B, C, D, E, F(6個) |
| 合計 | 6個 | 18個(本来の3倍) |
- 原因: Trivy スキャン用スクリプト内で使用している変換バイナリ(
trivy-to-vuls)に処理ロジックの不備が含まれておりました - セキュリティ影響: ソフトウェアが過剰に検知・表示される不具合であり、本件に起因する脆弱性の「検知漏れ」は発生しておりません
影響を受ける対象のお客様#
2026 年 2 月 24 日の定期リリース以降、v0.69.1 または v0.69.2 の Trivy スキャナを利用してスキャンを実施したサーバにおいて、今回の不具合が発生しておりました。
ライブラリ種別に関わらず、ロックファイルを含むすべての環境が対象です。
修正内容#
変換バイナリ(trivy-to-vuls)の構成情報取得ロジックを、以下の PR にて修正しました。
https://github.com/future-architect/vuls/pull/2450
この修正により、 Trivy スキャン時に正しい構成情報を FutureVuls へ連携できるようになり、「ソフトウェアの複製」および「ソフトウェア数の肥大化」を解消いたしました。
不具合の修正方法#
不具合を解消し、正しい構成情報を取り込むため、以下の手順でバイナリの最新化と再スキャンをお願いいたします。
※ 再スキャンが完了すると、過去に重複登録された不要なソフトウェア情報は自動的に上書き・削除され、正常な状態に戻ります。
- 通常版の Trivy スキャンをご利用の方: Trivy スキャナの
config.toml内のrefreshScannerを true にし、再度スキャンしてください。再度スキャンいただくことで、最新のtrivy-to-vulsバイナリがダウンロードされ、不具合が解消されます。config.tomlの書き方の例はこちらです。 - CI/CD パイプライン内等で、軽量版の Trivy スキャンをご利用の方: パイプラインを再実行することで、自動的に修正後の
trivy-to-vulsバイナリが取得・使用されます。