この記事は、 NTT Communications Advent Calendar 20227日目の記事です。 はじめに こんにちは、イノベーションセンター所属の志村と申します。 ﹁Metemcyber﹂プロジェクトで脅威インテリジェンスに関する内製開発や、﹁NA4Sec﹂プロジェクトで攻撃インフラの解明・撲滅に関する技術開発を担当しています。 今回は﹁開発に使える脆弱性スキャンツール﹂をテーマに、GitHub Dependabot, Trivy, Grypeといったツールの紹介をさせていただきます。 脆弱性の原因とSCAによるスキャン 現在のソフトウェア開発は、多くのOSSを含む外部のソフトウェアに依存しています。Python、Go、npm など多くの言語は、様々なソフトウェアをパッケージとして利用できるエコシステムを提供しており、この仕組みを利用してOSSなどのコンポーネントをソフト
![開発に使える脆弱性スキャンツール - NTT Communications Engineers' Blog](https://cdn-ak-scissors.b.st-hatena.com/image/square/92085e89ef53e01001b76899cd82b59cd8c78880/height=288;version=1;width=512/https%3A%2F%2Fcdn-ak.f.st-hatena.com%2Fimages%2Ffotolife%2FN%2FNTTCom%2F20221202%2F20221202180215.png)