タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
2026年3月19日、Aqua Security が提供するOSSセキュリティスキャナ Trivy のエコシステムが、3週間以内に2度目のサプライチェーン攻撃を受けました。攻撃者は aquasecurity/setup-trivy および aquasecurity/trivy-action の2つのGitHub Actionsに悪意あるコードを注入し、これらを利用するCI/CDパイプラインからクレデンシャルを大規模に窃取するペイロードを配布しました。 本記事では、GitHub Events APIおよびGitHub上に残存するcommitデータから取得したエビデンスをもとに、何が起こっているかを記録します。その上で、取りうる対応指針を示します。 免責 本記事の目的は事態の把握と対応の促進であり、違法行為への加担・助長を意図するものではありません。ペイロードの動作は手法の理解に必要な範囲で要
中山です trivyのv0.31.0でAWSアカウントのセキュリティスキャンができるようになりました。 feat: Add AWS Cloud scanning (#2493) Releases / v0.31.0 なお、v0.31.0でスキャンを実行するとクラッシュするバグがあり、すぐにv0.31.2がリリースされました。 Releases / v0.31.2 どんな感じか気になったので、軽く触っておこうと思います。 ドキュメントを確認 まずはドキュメントを確認します。 Amazon Web Services ポイントになると思った点をまとめます。 CIS AWS Foundations Benchmark standardに準拠したチェックが可能 認証方法はAWS CLIと同じ すべてのAWSリソースに対する参照権限が必要 (ReadOnlyAccess) サービス・リージョン・リソー
What is Trivy?Trivy is a multifunctional, open-source security scanner. It can scan various targets (filesystems, containers, git repositories and more) in order to discover security issues (vulnerabilities, misconfigurations, and secrets). In short, Trivy can find a bunch of different types of security issue in pretty much anything you point it at, for free. Scanning AWSAs of this week, Trivy v0.
「npm install」は任意コード実行のようなもの? Trivyやaxiosへのサプライチェーン攻撃を踏まえた、開発環境への新たな向き合い方 (本記事はフリーランスライター 高橋睦美氏によるゲストポストです) 近年のソフトウェア開発では、ビルドやデプロイ、テストなどを手作業で行うのではなく、CI/CDパイプラインを構築し、パッケージマネージャを活用して依存するnpmパッケージなどを自動的に組み合わせて環境を構築し、リリースしていく手法が一般的だ。AIエージェントの進化によって、その傾向はさらに加速している。 しかし2025年以降、このプロセスを悪用したセキュリティインシデントが多発し、ソフトウェアサプライチェーン全体の信頼を揺るがしかねない状態となっている。 ソフトウェアサプライチェーンのセキュリティリスクが注目を集めるようになったのはこの10年あまりのことだ。Apache Log4j
2021.12.14 (Tue) Ubie Tech Talk で発表した資料です
コンテナ/Kubernetesの脆弱性、機密情報、設定間違いが分かるOSS「Trivy」徹底解説~もうイメージスキャンだけとは言わせない:Cloud Nativeチートシート(17) Kubernetesやクラウドネイティブをより便利に利用する技術やツールの概要、使い方を凝縮して紹介する連載。今回は、コンテナ/Kubernetesの脆弱性、機密情報、設定間違いを診断、検出するOSS「Trivy」を紹介する(最新のv0.56.2含め2024年の情報に合うように更新)。 OSパッケージやライブラリ、アプリケーションで発見される脆弱(ぜいじゃく)性は日々増え続けていますが、皆さんのアプリケーション、システムは大丈夫でしょうか? 日々最新のバージョンに修正して脆弱性を対処していれば問題ありませんが、インターネット上に転がっているサンプルなどを参考して実装した場合、「記事で利用されている古いバージョ
タダです. 業務の中で CodeBuild にてコンテナビルド後,Trivy によるコンテナイメージの脆弱性スキャンをして Slack に通知する仕組みを作る検証を行ったので,検証した内容をこの記事にまとめていきます. Trivy について CodeBuild への Trivy 組み込み CodeBuild の buildspec.yml の定義 Slack 通知のためにやったこと まとめ Trivy について コンテナ脆弱性スキャンツールとして有名で自分も知っていたものの使う機会がなかった中,脆弱性をチェックしていくことを定期的にやっていくべきだと言う理由から Trivy を使っていくことにしました.開発者は Teppei Fukuda さんで,このブログも見たことある方多いのではないでしょうか? github.com Trivy の特徴はドキュメントにもあるように脆弱性データベースから
実践的な「Trivy」利用方法~「VSCode」によるスキャンからCI/CDパイプライン、「Trivy Operator」による継続的なスキャン~:Cloud Nativeチートシート(18) Kubernetesやクラウドネイティブをより便利に利用する技術やツールの概要、使い方を凝縮して紹介する連載。今回は、Trivyの代表的な利用シーンを取り上げながら、実践的に利用するための検討ポイントを解説する(最新のv0.56.2含め2024年の情報に合うように更新)。
はじめに 実際に作ったもの ここから先が長すぎて面倒だという方向け なぜVMのスキャンが必要なのか? 全体像 Trivyの脆弱性検知について 開発する上での課題 アーキテクチャ Storage層 EBS Storage Virtual Machine Image層 Disk Partition層 Logical Volume層 Filesystem層 & File層 苦労したこと&学び 処理が重すぎる問題 仕様書の英語が読めない とにかく人に頼る 巨大なバイナリファイルを読むのが辛い 感謝の念(一番大事) 最後に はじめに 2022年11月にOSSのコンテナ脆弱性検知ツール Trivy に 仮想マシンイメージ(VMDKやVDIなど)の脆弱性検知機能を追加しました。 今回はこの機能を追加した苦労話や具体的な技術について解説したいと思います。 技術話を書くと、正直クソ長文章になることは明白なの
はじめに この記事は、Go 言語 Advent Calendar 2023 シリーズ2の16日目の記事です。 こんにちは。reo です。 今年も気づけばアドベントカレンダーの時期ですね。 社のカレンダーにも参加したので、こちらも宣伝させていただきます。 今回はTrivyのWebAssembly拡張について紹介させていただきます。 前提 以下は詳しく触れません。 WebAssembly の概要 WebAssemblyランタイム(wazero)について Trivyの全体像について 掲載内容は私自身の見解であり、必ずしも所属する企業や組織の立場、戦略、意見を代表するものではありません。1 Trivy とは 公式の README にもあるとおり、コンテナイメージからファイルシステム、Gitリポジトリ、Kubernetes、AWSなど幅広いターゲットに対して、既知の脆弱性(CVE)や機密情報、IaC
この記事はコネヒトアドベントカレンダー21日目の記事です。 コネヒト Advent Calendar 2023って? コネヒトのエンジニアやデザイナーやPdMがお送りするアドベント カレンダーです。 コネヒトは「家族像」というテーマを取りまく様々な課題の解決を 目指す会社で、 ママの一歩を支えるアプリ「ママリ」などを 運営しています。 adventar.org はじめに コネヒトのプラットフォームグループでインフラ関連を担当している@yosshiです。 今年の7月に入社してから早いもので半年が経ちました。時が経つのは本当に早いですね。 今回のブログでは、セキュリティスキャンツールであるtrivyを使って、自動的にIaC (Infrastructure as Code)スキャンを実行する仕組みを構築した話をしたいと思います。 弊社ではインフラ構成をTerraform利用して管理するようにして
Trivy の「Misconfiguration Scanning」は Terraform をサポートしていて(AWS CloudFormation もサポートしている👏),Terraform コードのセキュリティ課題や設定ミスを検出できる❗️Trivy を活用した Terraform のスキャンを試した作業ログをまとめる📝 aquasecurity.github.io tfsec から Trivy へ 🔜 tfsec は現在も使えるけど,今後は Trivy に移行する流れとなっている💡 GitHub Discussions に今年2月頃 tfsec is joining the Trivy family というアナウンスが投稿されている❗️ github.com さらに GitHub の tfsec リポジトリ(master ブランチ)に今年5月頃 Migrating from
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
Codebook|Security News > Articles > Threat Report > デイリーサイバーアラート > TeamPCPによるサプライチェーン攻撃概要:Trivy侵害からイラン狙うワイパーKamikaze、LiteLLMの侵害まで TeamPCPによるサプライチェーン攻撃の概要:Trivy侵害からイラン狙うワイパーKamikaze、LiteLLMの侵害までArsTechnica – March 24, 2026 脆弱性スキャナーTrivyの侵害に端を発するサプライチェーンキャンペーンはDockerやGitHubリポジトリ、LiteLLMへ拡大している上、イランのマシンを新たなワイパー「Kamikaze」で狙うようになっているという。 Trivyの侵害から始まったサプライチェーン攻撃「TeamPCP」と名乗る脅威グループによるものとされるこのキャンペーンは、3月1
はじめに 本記事では、Trivy によるコンテナイメージの脆弱性スキャンとSecurity Hub を統合したCI(Continuous Integration)環境を構築するTerraform のコードをサンプルとして共有しています。コンテナイメージのセキュリティ対策の一例として参考になればと思います。 また、補足として、CodeBuild のビルド内のTrivy に関する処理について、簡単に説明をしています。 Terraform で構築する全体構成図 構成の概要 アーキテクチャは上記のAWS Security Blog を元にしています。 Dockerfile を含むコードをCodeCommit にプッシュするとCodePipeline が実行され、CodeBuild でビルドしたコンテナイメージを、Trivy で脆弱性スキャンをしています。 その結果、深刻度が CRITICAL な脆
March 22, 2026 - Docker Hub images v0.69.5 and v0.69.6 also compromised We have confirmed that the aquasec/trivy:0.69.5 and aquasec/trivy:0.69.6 Docker Hub images also contain the C2 domain. We extracted the trivy binary from the Docker images and found the C2 domain hardcoded in the binaries using strings analysis. These images have since been removed from Docker Hub. This was confirmed by runnin
# https://aquasecurity.github.io/tfsec/v1.0.11/getting-started/configuration/github-actions/pr-commenter/ name: Run tfsec PR commenter run-name: tfsec PR commenter on: pull_request: types: [synchronize, opened] jobs: tfsec: runs-on: ubuntu-latest steps: - name: Clone repo uses: actions/checkout@master - name: Terraform security scan uses: tfsec/tfsec-pr-commenter-action@main with: github_token: ${
Trivy サプライチェーン攻撃の概要と調査結果 2026年2月21日〜28日にかけて、OSS 脆弱性スキャナ Trivy の GitHub リポジトリが乗っ取られるサプライチェーン攻撃が発生した。 FutureVuls は Trivy をスキャンエンジンの一部として利用しており、ちょうど攻撃期間中の 2/24 にリリース作業を行っていた。そこで、配布中のバイナリが改ざんされていないかを検証し、今回の攻撃による改ざんを受けていないと判断した。 2026年2月21日〜28日に Trivy の GitHub リポジトリが乗っ取られ、FutureVuls が配布する Trivy バイナリへの影響が懸念された バイナリハッシュ比較・ビルドタイムスタンプ・Sigstore(Rekor / cosign)署名検証の3点から検証した FutureVuls で「2026年2月24日リリース」以降から配布し
はじめに はじめまして、スリーシェイクのSreake 事業部インターン生の鈴木友也と永井隆介です。Sreake 事業部は SRE関連技術に強みを持つエンジニアによるコンサルテーションサービスを提供する事業部であり、私たちも SRE 技術の調査と研究を行う目的で2022年10月11日 ~ 24日に開催された短期インターンに参加しました。2週間という期間を使って、Trivy Operator の技術検証と運用方法の提案を行いました。以下では、その成果をまとめたいと思います。 Trivy Operatorとは Trivy Operatorは、Kubernetes ネイティブな統合セキュリティプラットフォームです。具体的には、Kubernetes Operator を用いてコンテナイメージの脆弱性を自動でスキャンしたり、デプロイされる Kubernetes リソースの設定不備を自動で検証したりでき
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
お久しぶりです、ANDPADのtomtwinkleです。 この記事はANDPADアドベントカレンダー2日目の記事になります。 みなさん、Trivy 使ってますか? Trivyとはコンテナイメージの脆弱性をチェック出来るツールです。 Golang の net/http 辺りは度々DoS脆弱性が見つかることがあり、それに早めに気づけて更新出来ているため、大変助かっております。 おや? Trivy DB の様子が……? そんなTrivyですが、数ヶ月前くらいからTrivy DBのダウンロードに失敗するケースが増えてきました。 OCI repository error: 1 error occurred: * GET https://ghcr.io/v2/aquasecurity/trivy-db/manifests/2: TOOMANYREQUESTS: retry-after: 1.03923
はじめに 皆さんこんにちはasmgです。今回は、セキュアな状態で、Dockerimageを作成するために、GitHubActions上でtrivyを使いDocker imageの脆弱性診断をやってみたいと思います。 本記事の対象者 本記事は、GitHub Actionsでtrivyを利用したことをない人を対象としています。 また、trivy-actionをとりあえず触りたいと言う人でも触れるような構成で書いていきたいと思います。 本記事のゴール trivy-actionをGitHub Actions上で動かし、Docker imageの脆弱性診断を行い、GitHub上のSecurityページまたは、issueに情報を記録するところまでをゴールにしたいと考えています。 今回使うもの ツール類 GitHub Actions 脆弱性診断ツール: trivy 公開アクション: trivy-acti
風音屋では、データエンジニア、データアナリスト、データコンサルタントを募集しています。 書籍執筆者やOSSコントリビューターなど、業界を代表する20名以上のアドバイザーと一緒にベストプラクティスを追求できる環境です。 ご興味のある方は、ぜひご応募ください。 風音屋 兼業エンジニアの “宮地克弥”(@int_tt) です。 データ分析基盤を構築するのに必要な不可欠なものとしてデータレイクが挙げられます。AWS を利用して構築する際には Amazon S3 の利用が推奨されています。 【公式参照】AWS 上でのデータレイク - Amazon S3 データレイクでデータサイロを排し、大規模で簡単な分析を可能にする Amazon S3 はデータレイク以外にも静的コンテンツ置き場として幅広い用途で利用されています。 安価かつ簡単に利用することが出来る一方、設定を 1 つ間違えると情報流出に繋がる可能
OSSのセキュリティスキャンツールTrivyに対するサイバー攻撃により、クレデンシャル情報窃取マルウェアが拡散するインシデントが発生した。脆弱性の発見で人気のツールはどう侵害されたのか。本記事ではその経緯をまとめた。 オープンソースのセキュリティスキャンツールTrivyのGitHubリポジトリが、「TeamPCP」と名乗る攻撃者によるサイバー攻撃を受けた。攻撃者は2026年3月19日、公式リリースのリリースプロセスおよび自動化ツールのGitHub Actionsに改変を加えて情報窃取マルウェアを配布、ユーザーがTrivyを利用する際にひそかに実行されるように仕向けた。TrivyがCI/CDパイプラインに組み込みやすい点が悪用されている。 開発元のAqua Securityは即日不正コードの削除をはじめとした対応を行い、その後も追加的な対策を講じた。一方で商用版については、開発/リリースのプ
Trivy Under Attack Again: Widespread GitHub Actions Tag Compromise Exposes CI/CD Secrets Attackers compromised Trivy GitHub Actions by force-updating tags to deliver malware, exposing CI/CD secrets across affected pipelines. Update — March 22, 2026: Additional compromised Trivy artifacts have been identified in Docker Hub. New image tags (0.69.5 and 0.69.6), along with the previously identified 0.
こんにちは!クラウド事業本部コンサルティング部のたかくに(@takakuni_)です。 みなさん Trivy 使っていますでしょうか。コンテナイメージや IaC など幅広く静的解析できる点が魅力的です。 たとえば、 PR を切った時に Trivy を使ってスキャンを行い、問題なければマージするなどの使い方があります。 今回はマージされた後にフォーカスし、定期的なコンテナイメージのスキャンについて考えてみます。 Amazon Inspector コンテナイメージスキャンで言えば、比較よくで Amazon Inspector が出てきます。 Amazon Inspector の場合、新しい脆弱性が利用しているコンテナイメージに影響がある場合は再スキャンしてくれます。 Trivy の場合はそのような機能はないため、Cron など何かしらの定期実行が必要になります。 やってみた そこで今回は Gi
※2026/03/25(水)「GitHub Actions・Docker Hub・npm・PyPIに波及:Trivyサプライチェーン攻撃の影響確認ガイド」を追加で公開しています。 注意: 本レポートは 2026年3月22日 23:00 JST(14:00 UTC)時点の情報に基づく。本インシデントは調査が続いており、情報が更新される可能性がある。最新の状況は Aqua Security の公式アドバイザリ(https://github.com/aquasecurity/trivy/security/advisories/GHSA-69fq-xp46-6x23 )を参照されたい。 1. Trivy サプライチェーン攻撃(第2波・3/19発生)調査結果 2026年3月19日、Trivy に対する2回目のサプライチェーン攻撃が発生した。本攻撃は2026年2月28日の初回攻撃で窃取されたクレデンシ
Trivy の「Misconfiguration Scanning」を使うと Dockerfile の設定ミス(セキュリティ課題やベストプラクティス乖離など)を検出できる❗️今回は Trivy を活用した Dockerfile のスキャンを試した作業ログをまとめる📝 aquasecurity.github.io ちなみに Trivy の Misconfiguration Scanning は Terraform, AWS CloudFormation など複数のスキャンをサポートしている.Trivy x Terraform を試した記事は前に公開してあって,Trivy の設定や GitHub Actions ワークフローなどはほぼ同じで OK👌 kakakakakku.hatenablog.com どんなルールがあるのか 以下の Vulnerability Database で確認でき
prismatixのとばち(@toda_kk)です。 先週までAWS re:Invent 2022が開催されていましたが、それに合わせたようにAqua Security社から下記のアナウンスがありました。 With AWS #reInvent this week, we're excited to share that #Trivy, the all-in-one open-source #security scanner, can now scan Virtual Machine Instances on AWS for security issues. ✨ https://t.co/fLEWKstb7A — Aqua Security (@AquaSecTeam) December 1, 2022 脆弱性・セキュリティスキャンのためのOSSツールであるTrivyが、AMIやEBSスナッ
Sponsored · Ship Features Fearlessly Turn features on and off without deploys. Used by thousands of Ruby developers. →
Trivyを使用した構成が、全体的にバランスが良かったため、今回はそちらを採用することにしました。 Vuls(FutureVuls)については、脆弱性の管理機能が充実していることから、組織全体で導入するようなケースで適していると感じました。 また、ECRのイメージスキャン機能に関しては、導入が特に容易なため、スピード感を重視する場合に適していると感じました。 評価項目ごとの詳細は、下記の通りです。 必須要件を満たしているか 「実現したいこと」で挙げた項目を満たしているかの評価です。ECR(ベーシック)に関して、「検査対象にアプリケーションが依存するフレームワークやライブラリを含める」と「脆弱性の対応状況をWeb画面上で管理する」の要件を満たすことが難しいため、×としました。その他のツールは全ての要件を満たしているため、○としています。 導入の容易さ ECRのイメージスキャン機能に関して、A
【2026年の新常識】「良い質問」より「良い前提」。生成AIを動かすコンテキスト設計 1月8日 6:30
世間でソフトウェアの脆弱性が公表され、CVSS スコアが高いので自社が使っている OS やソフトウェア、開発しているアプリは大丈夫なのか?と、その都度対応していたりします。例えば Docker コンテナーを Azure Pipelines でビルドしているなら、パイプラインに脆弱性スキャンを追加して、その時点で脆弱性が含まれる場合は停止して、開発ライフサイクルの最初の方で対処しておけばラクになります。それでは、DevSecOps の一片を Azure Pipelines で実践してみたいと思います。 Azure DevOps に Trivy エクステンションをインストール 下記サイトの Visual Studio Marketplace より Trivy を Azure DevOps にインストールします。 [ Get it free ] をクリックします。 [ Install ] をクリ
インフラの運用ではデータ破損、ネットワークダウン、セキュリティインシデントといったサービスの稼働に重大な影響を与える問題が発生する可能性があるため、可能な限りそのような事態が起きないよう常に厚くテストしておきたいところである。 そのような問題への対応策として、Trivyは有効なツールである。 Trivyの具体的な利用方法をざっと列挙すると Misconfiguration Scanning: Terraform、CloudFormation、ARM templates、Kubernetes、Helm Charts、 Dockerfileなどの定義ファイルに脆弱性につながる設定が含まれていないかスキャン (またDBの削除保護設定が行われているかのチェックなど、Regoでカスタムポリシーを定義することで追加でスキャン可能) Secret Scanning: プロジェクト内にAWSやGCPのクレ
Affected Components Note that all malicious components, artifacts, commits, etc have been removed from all sources and destinations (yet they may linger in intermediary caches). Use this information to understand if you have been exposed to the malicious artifacts during the exposure window. trivy binary and image You are affected if you used: trivy binaries version v0.69.4 (or latest during the e
AI管理ライブラリ「LiteLLM」がサプライチェーン攻撃を受け、マルウェアを含むバージョンが配布された。LiteLLMは100以上のLLMに単一インタフェースでアクセスできる人気のライブラリ。目的はクレTrivyの侵害と同様にクレデンシャル窃取だった。 AI管理ライブラリ「LiteLLM」がサプライチェーン攻撃を受け、マルウェアが仕込まれたバージョンが配布された。2026年3月24日に起こったこのインシデントは、3月19日に発生したTrivyの侵害と同じ攻撃グループ、TeamPCPによるものだという。 LiteLLMはさまざまなLLM(大規模言語モデル) APIへのアクセスを1つのインタフェースで提供するPythonライブラリ。コードをほとんど変更することなく、LLMの切り替えができる。 このインシデントでは、LiteLLMのPython公式パッケージリポジトリ(PyPI)のメンテナーア
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く