Trivyなどのスキャンを統合して安全な高速ビルドを実現

はじめに

Dockerを使ったコンテナ開発では、ビルドスピードとセキュリティチェックの両立が重要な課題です。
近年では、CI/CDパイプラインにセキュリティスキャンツールを統合し、開発フローの中で脆弱性を検出・修正する「Shift Left Security」が主流になっています。
本記事では、Trivyを中心としたスキャンツールの統合方法と、ビルドキャッシュ最適化による高速な安全ビルドの実現手法を解説します。

---

Trivyとは

Trivyは、Aqua Securityが開発するオープンソースの脆弱性スキャナで、以下のような幅広い対象をサポートしています。

• OSパッケージ（Alpine、Debianなど）
• アプリ依存関係（npm、pip、Go modulesなど）
• DockerfileやIaC（Terraform、Kubernetesマニフェストなど）

特徴的なのは「シンプルなコマンド構成」と「高速なキャッシュスキャン」で、開発中・CI/CD両方に導入しやすい点です。

---

CI/CDへのTrivy統合の流れ

1. Dockerfileのスキャン

まずはDockerfileからビルドされたイメージをスキャンします。

# Dockerイメージをスキャン
trivy image myapp:latest

結果として、脆弱なパッケージやライブラリが一覧表示されます。
CIの段階でこれを自動実行することで、リリース前に問題を検出可能です。

---

2. GitHub Actionsで自動化

GitHub Actionsを利用すれば、コミット時やPR時にTrivyを自動実行できます。

name: Security Scan

on:
  push:
    branches: [ main ]
  pull_request:

jobs:
  scan:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4
      - name: Run Trivy scan
        uses: aquasecurity/trivy-action@master
        with:
          image-ref: myapp:latest
          format: table

これにより、CIパイプライン内でセキュリティスキャンが標準プロセス化され、リリース前の品質が担保されます。

---

3. 高速化のためのキャッシュ戦略

セキュリティスキャンは頻繁に実行するため、パフォーマンス最適化が重要です。
Trivyは結果キャッシュをローカルに保存する仕組みを持ち、再スキャン時に差分のみをチェックできます。

trivy image --cache-dir /tmp/trivycache --quiet myapp:latest

さらに、Docker BuildKitのキャッシュ機能と組み合わせることで、次のような安全かつ高速なビルドプロセスが実現します。

DOCKER_BUILDKIT=1 docker build --progress=plain --no-cache .

CI/CD環境では、actions/cacheを使ってTrivyキャッシュを再利用すると効率的です。

---

4. 他ツールとの連携（Grype・Snykなど）

Trivy以外にも、GrypeやSnykなどのスキャナを併用して多層チェックを行うケースがあります。
例えば、GrypeはSBOM（Software Bill of Materials）との連携に強く、Trivyと補完的に動作させることが可能です。

# Grypeでのスキャン
grype myapp:latest

組み合わせることで、Trivyの高速スキャン＋Grypeの詳細解析といったバランスの良い運用が実現します。

---

5. スキャン結果のレポート化

TrivyはJSONやSARIF形式での出力に対応しており、CIレポートやGitHub Security Dashboardへの統合も簡単です。

trivy image --format sarif --output trivy-report.sarif myapp:latest

これにより、開発チーム全体で可視化されたセキュリティ状態を共有できます。

---

まとめ

Trivyを中心にスキャンツールをCI/CDへ統合することで、以下のメリットが得られます。

• 脆弱性を早期検出して修正コストを削減
• ビルドプロセスを自動化し、品質と速度を両立
• キャッシュやBuildKit活用でパイプラインを高速化

「安全性」と「スピード」はトレードオフではなく、正しい設計によって両立可能です。
まずはTrivyをCI/CDに組み込み、スキャンレポートを可視化するところから始めましょう。

---

次のステップ

• TrivyレポートをSlackやTeamsに通知する
• SBOM生成を自動化してソフトウェア資産管理に活用
• BuildKitのマルチステージ構築と組み合わせた最適化手法を導入