コンテナスキャンと比較した依存性スキャン
GitLabでは、これらの依存関係をすべてカバーするために、依存関係スキャンと コンテナスキャンの両方を提供しています。できるだけ多くのリスク領域をカバーするために、私たちのセキュリティスキャンツールをすべて使うことをお勧めします:
- 依存関係スキャンは、あなたのプロジェクトを分析し、アップストリーム依存関係を含むどのソフトウェア依存関係があなたのプロジェクトに含まれているか、そして、その依存関係にどのような既知のリスクが含まれているかを教えてくれます。
- コンテナ・スキャンは、コンテナを分析し、オペレーティング・システムの(OS) パッケージに含まれる既知のリスクについて知らせます。
次の表は、各スキャンツールが検出できる依存関係の種類をまとめたものです:
| 機能 | 依存関係の脆弱性スキャン | コンテナの脆弱性スキャン |
|---|---|---|
| 依存関係を導入したマニフェスト、ロックファイル、または静的ファイルの特定 | {チェックサークル} | {点線円} |
| 開発者の依存関係 | {チェックサークル} | {点線円} |
| リポジトリにコミットされたロックファイル内の依存関係 | {チェックサークル} | 1 |
| Goでビルドされたバイナリ | {点線円} | 2 3 |
| オペレーションシステムによってインストールされる、動的にリンクされた言語固有の依存関係 | {点線円} | 3 |
| オペレーションシステムの依存関係 | {点線円} | {チェックサークル} |
| オペレーティングシステムにインストールされた言語固有の依存関係(プロジェクトではビルドされません)。 | {点線円} | {チェックサークル} |
- ロックファイルを検出するには、イメージ内にロックファイルが存在する必要があります。
- 検出する画像にバイナリファイルが存在する必要があります。
- Trivy使用時のみ。