シリコンバレーの最前線を、確かなソースで。Trivy
公式サイト
1. サービス概要
Trivyは、Aqua Security社が開発・メンテナンスするオープンソースの包括的な脆弱性スキャナーである。コンテナイメージ、ファイルシステム、Gitリポジトリ、IaC(Infrastructure as Code)構成ファイル、Kubernetesクラスタなど、多様なターゲットに対する脆弱性・設定ミス・シークレットの検出を単一ツールで実現する。CI/CDパイプラインへの組み込みが容易で、軽量かつ高速に動作する点が特徴。CNCF(Cloud Native Computing Foundation)エコシステムで広く採用されており、クラウドネイティブセキュリティの標準ツールの一つとなっている。
2. 使用している技術スタック
- 実装言語: Go
- スキャン対象:
- コンテナイメージ(Docker、OCI)
- ファイルシステム・Gitリポジトリ
- IaC(Terraform、CloudFormation、Dockerfile、Kubernetes manifests、Helm Charts)
- SBOM(Software Bill of Materials)
- 脆弱性データベース: NVD、GitHub Advisory Database、Red Hat、Debian、Ubuntu、Alpine等のOS別DB
- 対応パッケージマネージャー: npm、pip、Bundler、Composer、Maven、Gradle、Go modules、Cargo など
- 出力形式: JSON、Table、SARIF、CycloneDX、SPDX
- CI/CD統合: GitHub Actions、GitLab CI、Jenkins、CircleCI
- ライセンス: Apache License 2.0
- リポジトリ: github.com/aquasecurity/trivy
3. 会社概要
| 項目 | 内容 |
|---|---|
| 開発元 | Aqua Security Software Ltd. |
| 設立年 | 2016年(Aqua Security) |
| 本社所在地 | イスラエル(ラマトガン) |
| CEO | Dror Davidoff(Aqua Security) |
| ライセンス | Apache License 2.0 |
| GitHub Stars | 20,000+ |
| Webサイト | https://trivy.dev / https://www.aquasec.com |
4. 沿革、資本構成、国籍、役員情報
沿革
- 2016年: Aqua Securityがイスラエルで設立。クラウドネイティブセキュリティプラットフォームを開発
- 2019年: Teppei Fukuda(knqyf263)がオープンソースプロジェクトとしてTrivyを公開。当初はコンテナイメージの脆弱性スキャンに特化
- 2019年後半: Aqua SecurityがTrivyを公式に採用・スポンサー。Teppei FukudaがAqua Securityに入社
- 2020年: IaCスキャン機能を追加。ファイルシステムスキャン対応
- 2021年: Kubernetesクラスタスキャン対応。SBOM生成機能を追加
- 2022年: シークレット検出機能を追加。ライセンス検出機能を追加。主要CIプラットフォームとの統合を強化
- 2023年: Trivyがクラウドネイティブセキュリティのデファクトスタンダードツールの一つに成長
- 2024年: 機能拡張を継続。VEX(Vulnerability Exploitability eXchange)対応を強化
資本構成(Aqua Security)
Aqua Securityの累計調達額は$265M以上。主要投資家にはLightspeed Venture Partners、TLV Partners、Greenspring Associates、ION Crossover Partnersなどが含まれる。Trivy自体はオープンソースプロジェクトとして無償提供。
国籍
イスラエル(Aqua Security)。Trivyの原作者は日本人エンジニア(Teppei Fukuda)。
役員情報(Aqua Security)
| 役職 | 氏名 |
|---|---|
| CEO / Co-founder | Dror Davidoff |
| CTO / Co-founder | Amir Jerbi |
| Trivyリード開発者 | Teppei Fukuda (knqyf263) |