Syft와 Grype를 활용한 소프트웨어 취약점 식별
⭐ Syft & Grype 소개
Syft는 SBOM(Software Bill of Materials)을 생성하는 CLI 도구입니다.
참고로 컨테이너(OCI, Docker and Singularity) 및 리눅스 배포판을 대상으로 SBOM을 생성할 수 있으며, 현재 Windows 환경은 지원하지 않습니다.
Grype는 오픈소스 취약점 스캐너입니다.
Syft를 통해 생성한 SBOM으로 Grype를 사용하면 소프트웨어의 취약점을 식별할 수 있습니다.
⭐ 개념도
⭐ 취약점 식별 결과 확인
설치된 패키지명, 설치된 버전, FIX된 버전, 취약점, 심각도를 아래와 같이 레포팅합니다.
⭐ 상업적 이용 가능 여부
Syft & Grype는 상업적 이용에 제한을 두지 않는 Apache-2.0 license 에 해당합니다.
GitHub - anchore/syft: CLI tool and library for generating a Software Bill of Materials from container images and filesystems
CLI tool and library for generating a Software Bill of Materials from container images and filesystems - anchore/syft
github.com
GitHub - anchore/grype: A vulnerability scanner for container images and filesystems
A vulnerability scanner for container images and filesystems - anchore/grype
github.com