Terraform, Dockerfile, KubernetesなどIaCの脆弱な設定をCI/CDで検知する - knqyf263's blog

概要 自分の所属企業であるAqua SecurityがTFsecというOSSを買収しました。 blog.aquasec.com TFsecはどういうツールかというとTerraformの静的解析スキャナーです。Terraformの設定ファイルを渡すことでセキュリティに関する設定ミスを主に検知してくれます。 github.com そのアナウンスに伴い、TFsecは自分が開発している脆弱性スキャナーであるTrivyに統合されました。TrivyではTerraformに加えDockerfileやKubernetesなど、いわゆるInfrastructure as Code（IaC）の設定ミスを検知するマネージドポリシーも提供しています。他にもJSONやYAMLなど一般的なファイルフォーマットに対応しているため自分でポリシーを書くことでそれらの検知にも使えます。CloudFormationやAnsib

[tmatsuu]

Trivy使えばok。わいわい

[nekoruri]

ファイルながめた感じAWS,Azure,GCPあたりはルール入ってるな。

[hirorinya]

学び

[tolkine9999h]

おおっと、まじか。TFSec、最近思いっきり使ってたから、めちゃびっくりした。そして、Trivyの進化が止まらない。

[ed_v3]

これはこれで良いと思うんだけどアプリケーションレイヤーのセキュリティが一番難しいと最近は実感しているのでそこをどうにかするツールが出てきて欲しいな〜

[nabinno]

詰め込みすぎな気がするけど会社としては一元管理した方が都合が良いのだろう。

[yujiorama]

Regoを使うツールが増えていく

[miya-jan]

tfsec が買収されて trivy に統合された。trivy、元々はコンテナイメージの脆弱性スキャナだったけど、今は Dockerfile, k8s, Terraform の静的解析ができるようになってる。脆弱性だけでなく設定ミスも検知できる。

[dulltz]

trivy こんなに多機能だったのか。conftest でいうところの --combine をポリシー単位で指定できるのめっちゃいい

[shodai]

面白いこと考えるな

[sharaku3eyes]

いいな

[dohq]

便利ではあるけどあまりにも詰め込まれすぎてるのがちょっとなぁ…という感じはする

[ktykogm]

[CI/CD]

[umisora2]

凄い

[sonots]

trivyに統合するのか