同じ脆弱性情報を使っているはずなのに！？なぜか発生した脆弱性の検知漏れ：パッケージの分類がもたらした落とし穴

同じ脆弱性情報を使っているはずなのに！？なぜか発生した脆弱性の検知漏れ：パッケージの分類がもたらした落とし穴
ARANK

NTTドコモビジネスが開発しているSBOM管理ソリューション「Threatconnectome」において、Trivyと同じ脆弱性データベースを使用しているにもかかわらず、特定のパッケージで脆弱性検出漏れが発生した事例を紹介します。はじめに 1. Trivyにおけるパッケージの分類についてバイナリパッケージとソースパッケージについてバイナリパッケージソースパッケージバイナリパッケージとソースパッケージの分類の意図 Trivyにおける脆弱性検出の仕組み Threatconnectomeにおける脆弱性の未検知問題の詳細プロジェクトでの対応策実施後の効果まとめ脚注参考文献はじめに…

engineers.ntt.com 2 days ago

Open page

https://engineers.ntt.com/entry/202510-chisaka/entry