開発に使える脆弱性スキャンツール - NTT Communications Engineers' Blog
この記事は、 NTT Communications Advent Calendar 20227日目の記事です。 はじめに こんにちは、イノベーションセンター所属の志村と申します。 ﹁Metemcyber﹂プロジェクトで脅威インテリジェンスに関する内製開発や、﹁NA4Sec﹂プロジェクトで攻撃インフラの解明・撲滅に関する技術開発を担当しています。 今回は﹁開発に使える脆弱性スキャンツール﹂をテーマに、GitHub Dependabot, Trivy, Grypeといったツールの紹介をさせていただきます。 脆弱性の原因とSCAによるスキャン 現在のソフトウェア開発は、多くのOSSを含む外部のソフトウェアに依存しています。Python、Go、npm など多くの言語は、様々なソフトウェアをパッケージとして利用できるエコシステムを提供しており、この仕組みを利用してOSSなどのコンポーネントをソフト
