Goバイナリの脆弱性検知 - knqyf263's blog

Trivyのv0.17.0をリリースしました。 github.com 長い道のりでしたが、ようやくこれでGoバイナリの脆弱性検知に対応できました。夜中0時ぐらいからリリース作業を初めて気付いたら朝5時でした。 概要 Go言語で書かれたプログラムをビルドすると依存しているモジュールがバイナリに含まれます。現代のソフトウェア開発において利用しているOSSのライブラリが0ということはまれなので、何かしらのOSSライブラリが作成されたバイナリに同梱されます。これらのOSSの古いバージョンには既知の脆弱性が含まれる可能性があります。これを手動で調べて追うのは手間なので最近では脆弱性スキャナを用いて検知するのが普通です。自分が開発したTrivyというOSSの脆弱性スキャナではコンテナイメージやファイルシステム上のGoバイナリに含まれるモジュールを特定し脆弱性を検知します。 Goのバイナリからどうやって

[hamamuratakuo]

現代のソフトウェア開発にOSSのライブラリが0ということはまれなので、OSSの古いバージョンには既知の脆弱性が含まれる可能性があります。手動で調べて追うのは手間なので最近では脆弱性スキャナを用いて検知が普通

[tengo1985]

すばらしい仕事

[kita-tuba]

ありがた

[iselegant]

おお、Trivyもついにgolangバイナリの脆弱性に対応したのか。データソースはGiLabのをベースにしているみたいだけど、まだ改善の余地がありそうな感じ。一旦はお疲れ様です。