本ブログは「Aqua Security」社のプレスリリースで2020年3月16日に公開された「Trivy Vulnerability Scanner from Aqua Security Adopted by Leading Cloud Native Platforms」の日本語翻訳です。

Aqua Securityの脆弱性スキャナー Trivy が、主要なクラウドネイティブプラットフォームで採用

---

ボストン-2020年3月16日- クラウドネイティブアプリケーションとインフラを保護する大手プラットフォームプロバイダー Aqua Security は、オープンソースの脆弱性スキャナー Trivy が CNCF のメンバーの1つである Harbor レジストリ、Docker、Mirantis Docker Enterprise などの主要なクラウドネイティブプラットフォームの統合オプションとして利用可能になったことを発表しました。

Trivy は包括的で使いやすい脆弱性スキャナーであり、オープンソースとして提供されています。10か月前に Aqua へ加わって以来、このプロジェクトは GitHub 上で3,300以上のスターが付けられ、オープンソースコミュニティメンバーの間で幅広い支持を得ています。他のスキャナーとは異なり、Trivy は OS パッケージと言語固有の依存関係の両方をカバーし、組織のソフトウェア開発パイプラインに容易に統合できます。

Trivy は Apache2 ライセンスで利用可能で、ソフトウェア使用料無料での使用・変更・配布が可能になりました。Trivy は CNCF 配下で人気のあるオープンソース コンテナイメージレジストリ プロジェクトの1つである Harbor のデフォルトスキャナーとして採用されるほか、広く利用されているコンテナプラットフォーム Docker や Mirantis Docker Enterprise でも統合オプションとして利用可能になります。

VMware の Harbor メンテナー兼プロダクトマネジメントディレクターの Michael Michael 氏は次のように述べています。

「Trivy はコンテナイメージのスキャンを、より高いレベルのユーザビリティとパフォーマンスで実現します。機能や脆弱性データベースが頻繁に更新され、包括的な脆弱性スキャンが行われることで、Harbor を完全に補完可能です。実際にこれらの機能により、今後の v2.0 リリースで Harbor レジストリユーザのデフォルトスキャナーになりました。Trivy を使用すると Harbour ユーザは、コンテナイメージの脆弱性を継続的かつ容易にスキャンできます。」

CNCF 技術監視委員会のメンバーで Docker のセキュリティリードである Justin Cormack 氏は、次のように付け加えました。

「Trivy は非常に使いやすく、高速にスキャンできるコンテナイメージスキャナーです。すぐにでも、脆弱性スキャンが日常業務、スクリプト、CIに容易に統合できるようになるでしょう。」

また、Mirantis のエンジニアリング担当VPである Milind Gadre 氏は次のように述べています。

「オープンソースの脆弱性スキャンのいくつかの主要なオプションを検討した結果、その中でも Trivy が際立っていたと評価しました。Mirantis は当社の Docker Enterprise ソリューションに含まれる Docker Trusted Registry との互換性が検証された統合コンポーネントとして Trivy を採用にする予定です。セキュリティとコンプライアンスの問題に直面している組織向けに、安全で柔軟なコンテナ管理プラットフォームテクノロジーでリーダーシップを発揮できることを非常に嬉しく思います。」

Aqua のオープンソースエンジニアリング担当VPであり、CNCF Technical Oversight Committee(TOC) の議長を務める Liz Rice は、同社のオープンソース開発者チームを率いて、オープンソースソフトウェアを開発し、コミュニティプロジェクトにも積極的に貢献しています。
その Liz Rice 氏は次のように述べています。

「私たちのチームは、Trivy への関心の高さと今回の採用に対して、興奮を覚えています。これにより Trivy をコンテナ脆弱性スキャンで最も広く採用されているオープンソースソリューションにするという決意が高まります。」

Trivy は Aqua のオープンソース クラウドネイティブセキュリティプロジェクトのポートフォリオの一部です。

• kube-bench：2018 InfoWorld Bossie Awards を受賞した kube-bench は、CIS Kubernetes ベンチマークの推奨事項に従って Kubernetes が構成されているかどうかを自動的に評価します。
• kube-hunter：侵入テストツールは Kubernetes クラスタの弱点を検索するため、管理者・オペレーター・セキュリティチームは、攻撃者が悪用する前に問題を特定して対処できます。
• Tracee：eBPF を使用してコンテナ内のイベントをトレースします。eBPF はカーネル上でカスタムプログラムを実行できるカーネルテクノロジーです。
• CloudSploit：クラウドセキュリティポスチャマネジメント(CSPM)を提供し、セキュリティのベストプラクティスに対してクラウドアカウントとサービス構成を評価します。
• kubectl-who-can：Kubernetes のロールベースのアクセス制御(RBAC)構成に関するクエリを簡素化する標準の kubectl ツールの拡張機能です。

Aqua Security について

---

Aqua Security は企業が開発から運用まで、クラウドネイティブ、コンテナベース、そしてサーバーレス環境のアプリケーションのセキュリティを手助けします。Aqua は DevOps とセキュリティのギャップを埋め、ビジネスの俊敏性を促進し、デジタルトランスフォーメーションを加速します。Aqua Cloud Native Security Platform は、最新のゼロタッチアプローチを使用して脅威を検出・防止すると同時にコンプライアンス規制を簡素化し、アプリケーションのライフサイクル全体にわたって完全な可視性とセキュリティの自動化を提供します。Aquaの顧客には、世界最大規模の金融サービス、ソフトウェア開発、インターネット、メディア、ホスピタリティ、小売業が含まれ、世界規模でのクラウドプロバイダーとオンプレミス技術の連携を実現します。詳細については、www.aquasec.comをご覧ください。またはtwitter.com/AquaSecTeamでフォローしてください。