[GitHub Actions]TerraformのtfファイルをTrivyで脆弱性検知

[コンテナイメージ脆弱性スキャナ]Trivyをやっと試してみた！

trivy.yml

name: Trivy Scan

on:

pull_request:

paths:

- "**.tf"

jobs:

trivy-scan:

name: Trivy Scan

runs-on: ubuntu-latest

steps:

- name: Checkout repository

uses: actions/checkout@v4

- name: Trivy Scan

uses: aquasecurity/trivy-action@master

with:

scan-type: 'config'

severity: 'HIGH,CRITICAL'

output: trivy-scan-result.txt

- name: Format Trivy Scan Result

run: |

if [ -s trivy-scan-result.txt ]; then

echo -e "## Trivy scan results\n<details><summary>description</summary>\n\n```\n$(cat trivy-scan-result.txt)\n```\n</details>" > formatted-trivy-result.md

else

echo -e "## Trivy scan results\nNo vulnerabilitie" > formatted-trivy-result.md

- name: Comment PR with Trivy scan results

uses: marocchino/sticky-pull-request-comment@v2

with:

recreate: true

GITHUB_TOKEN: ${{ secrets.GITHUB_TOKEN }}

path: formatted-trivy-result.md

差分があれば結果がPRのコメントに上書きされる流れ。ちなみにtfsecはTrivyに統合される。

https://github.com/aquasecurity/tfsec/tree/master?tab=readme-ov-file#-tfsec-to-trivy-migration

Was this helpful?

1 / 0

adachin

1989年生まれのFindy/SRE。ホスティングから大規模なアドテクなどのインフラエンジニアとして携わる。現在はサービスの信頼性向上、DevOps、可用性、レイテンシ、パフォーマンス、モニタリング、オブザーバビリティ、緊急対応、AWSでのインフラ構築、Docker開発環境の提供、IaC、新技術の検証、リファクタリング、セキュリティ強化、分析基盤の運用などを担当している。個人事業主では数社サーバー保守とベンチャー企業のSREインフラコンサルティングやMENTA/TechBullで未経験者にインフラのコーチング/コミュニティマネージャーとして立ち上げと運営をしている。また、過去「脆弱性スキャナVuls」のOSS活動もしており、自称エバンジェリスト/技術広報/テクニカルサポート/コントリビュータでもある。

[GitHub Actions]TerraformのtfファイルをTrivyで脆弱性検知

いいね:

関連

コメントを残すコメントをキャンセル