生産コストの高い組織で発見されたセキュリティの脆弱性は,開発中に発見された脆弱性よりもはるかに多くの修正が必要です。これは新しい洞察ではなく,シフトレフトのセキュリティの背後にある基本的な議論です。しかし 2026 年には,AI 生成コード,無秩序に広がるマイクロサービス アーキテクチャ,サプライ チェーン攻撃が四半期ごとにニュースの見出しを飾るようになり,DevOps パイプラインにおける脆弱性スキャン は,「あると便利」なものから,交渉の余地のないエンジニアリング プラクティスへと移行しました。

ツール環境はかなり成熟しました。もう,スプリントごとに 1 回だけ実行する低速のモノリシック スキャナと,最善の結果を期待するどちらかを選択する必要はありません。現在の最高のツールは,IDE,プル リクエスト ワークフロー,コンテナ レジストリ,IaC 計画フェーズにネイティブに統合されており,開発者の速度を妨げることなく継続的なフィードバックを提供します。

このガイドでは,2026 年の DevOps チームと DevSecOps チームにとって最も重要な 6 つの脆弱性スキャン ツールについて説明します。それぞれのツールが最も優れている点,不足している点,価格設定,最適化されているユースケースについて説明します。 CI/CD パイプライン を構築していて,最初からセキュリティを組み込みたい場合は,これが参考になります。

関連: AI 支援コーディングによる新たなリスクベクトルの導入が心配な場合は,2026 年の vibe コーディング セキュリティ リスク に関する詳細をご覧ください。

TL;DR — 一目でわかる比較

道具容器IaCSAST (コード)SCA(OSS)秘密価格設定
トリビー⚠️無料/OSS
スニック無料 → 1開発あたり月額25ドル
グライプ無料/OSS
OWASP デップチェック無料/OSS
セムグレップ⚠️無料→チーム(カスタム)
チェコフ⚠️無料 / OSS + Prisma Cloud

⚠️ = 部分的または限定的なサポート

2026 年にシフトレフトの脆弱性スキャンが重要となる理由

NIST が引用した「1:10:100 ルール」は,欠陥の発見が遅くなるにつれて欠陥コストが桁違いに増加することを説明しています。コード レビューで発見された脆弱性は,QA で発見された脆弱性よりも修正にかかるコストが約 10 分の 1,本番環境で発見された脆弱性の 100 分の 1 です。正確な乗数は組織によって異なりますが,方向性に関する真実は十分に確立されており,数十年にわたるソフトウェア エンジニアリングの研究によって裏付けられています。

2026 年には,プレッシャーはさらに深刻になります。

  • AI 生成コード はより速く出荷されますが,レビュー担当者が見逃す微妙な脆弱性が生じる可能性があります。AI コード レビュー アシスタント や SAST スキャナーなどのツールは,人間が認識できないものを検出します。
  • オープンソースの依存関係のスプロール は,典型的な Node.js または Python プロジェクトが何千もの推移的な依存関係を取り込む可能性があることを意味し,それぞれが潜在的なサプライ チェーン リスクとなります。
  • IaC は構成ミスのリスクを増大させます: Terraform,CloudFormation,および Helm チャートはインフラストラクチャ全体をエンコードします。 「encryption = true」フラグが 1 つ欠けていると,監査時にコンプライアンス違反になります。
  • コンテナ イメージの鮮度: 基本イメージは古くなります。 「ubuntu:22.04」の脆弱性は,誰かが再スキャンして再構築するまで,その上に構築されたすべてのサービスに影響を与えます。

以下のツールは,スタックのさまざまな層でこれらの問題に対処します。最も成熟した DevSecOps プログラムでは,少なくとも 2 つまたは 3 つを組み合わせて使用​​します。

1. Trivy — 最高のオールインワン OSS スキャナー

Trivy (Aqua Security によって保守) は,コンテナーおよびクラウドネイティブ環境におけるオープンソースの脆弱性スキャンの事実上の標準になっています。コンテナー イメージ スキャナーとして始まったものは,以下をカバーする包括的なセキュリティ ツールに進化しました。

  • コンテナ イメージ - OS パッケージと言語固有の依存関係
  • ファイルシステムとGitリポジトリ
  • IaC ファイル — Terraform,CloudFormation,Kubernetes マニフェスト,Helm チャート
  • SBOM (ソフトウェア部品表,CycloneDX および SPDX 出力)
  • ファイルと環境変数の 秘密の検出
  • Kubernetes クラスターの監査

DevOps チームがそれを好む理由

Trivy の最大の利点は,運用上のオーバーヘッドがほぼゼロであることと,その幅広さです。個別に管理するデータベースはありません。Trivy は独自の脆弱性データベース (NVD,GitHub Advisory Database,および OS 固有のアドバイザリから構築) をダウンロードし,ローカルにキャッシュします。 GitHub Actions ステップは数秒でコンテナー イメージをスキャンします。

- name: Run Trivy vulnerability scanner
  uses: aquasecurity/trivy-action@master
  with:
    image-ref: 'my-app:latest'
    format: 'sarif'
    output: 'trivy-results.sarif'
    severity: 'CRITICAL,HIGH'

長所

  • 完全に無料のオープンソース (Apache 2.0)
  • 単一バイナリ,エージェント不要
  • 優れた CI/CD 統合 (GitHub Actions,GitLab CI,Jenkins,CircleCI)
  • GitHub の [セキュリティ] タブ統合用の SARIF 出力
  • 活発な開発と大規模なコミュニティ
  • サプライチェーンコンプライアンスのためのSBOM生成

短所

  • SAST (カスタム コード分析) は対象外です。論理的なバグではなく,既知の CVE を検出します。
  • すぐに使える SaaS ダッシュボードやチケット発行の統合はありません (Aqua の商用プラットフォームが必要です)
  • 大規模なポリシー管理にはカスタム スクリプトが必要です

価格設定

無料のオープン ソース。 Aqua Security の商用プラットフォーム (Aqua Platform) は,ランタイム保護,SaaS ダッシュボード,エンタープライズ サポートによって Trivy を拡張しますが,コア スキャナーには費用がかかりません。

最適な用途

CI/CD パイプライン用の ゼロコストで広範囲をカバーするスキャナー を必要としているチーム,特に既にコンテナーと IaC を使用しているチーム。 DevSecOps を初めて使用する組織にとって完璧な出発点です。

2. Snyk — 開発者優先のセキュリティに最適

Snyk は,「開発者第一」のセキュリティ哲学の先駆者であり,セキュリティ ツールは個別の監査ゲートではなく,開発者が作業する場所 (IDE プラグイン,GitHub PR,CLI) に存在すべきであるという考えです。 2026 年までに,Snyk は以下をカバーする完全なアプリケーション セキュリティ プラットフォームに成長しました。

  • Snyk オープンソース — npm,pip,Maven,Go モジュールなどの SCA
  • Snyk Code — リアルタイム IDE フィードバックを備えた独自の SAST エンジン
  • Snyk Container — 基本イメージのアップグレードに関する推奨事項を使用したイメージ スキャン
  • Snyk IaC — Terraform,CloudFormation,Kubernetes,ARM テンプレート
  • Snyk AppRisk — アプリケーションのリスクの優先順位付け

DevOps チームがそれを好む理由

Snyk の最も強力な機能は 修正ガイダンス です。脆弱な依存関係が見つかった場合,CVE を報告するだけでなく,どのバージョン アップグレードで問題が解決されるのか,そのアップグレードで API が壊れるかどうかを正確に通知し,自動化されたプル リクエストを開きます。脆弱性のトリアージと修復に多大な時間を費やしているチームにとって,これによりアラート疲労が大幅に軽減されます。

Snyk Code SAST エンジンは,従来の静的分析ツールと比較して著しく高速であり,VS Code または JetBrains IDE にインラインで結果を数分ではなく数秒以内に返します。

長所

  • 1 つのダッシュボードで SCA,SAST,コンテナ,IaC をカバーする統合プラットフォーム
  • 自動化された修正 PR — 単なるノイズではなく,本当に便利です
  • クラス最高の IDE 統合 (VS Code,IntelliJ,Eclipse)
  • トリアージ ワークフローのための強力な Jira/Slack 統合
  • 到達可能性分析に基づく優先順位付け (脆弱な関数が実際に呼び出されているかどうか)
  • SOC 2 Type II 認定,GDPR 準拠

短所

  • 無料利用枠の制限: オープンソース テストは 200 件/月,SAST または IaC レポートはなし
  • 大規模になると高価になる可能性があります - エンタープライズ向けの価格設定には見積もりが必要です
  • ポリシーを調整する前に,膨大な量のアラートに圧倒されるチームもあります
  • セルフホスト型 SCM (GitHub Enterprise Server,GitLab オンプレミス) には Ignite プラン以上が必要です

価格設定

  • 無料: 最大 10 人の開発者が参加,200 の OSS テスト/月,IDE + SCM 統合
  • チーム: 貢献開発者あたり月額約 25 ドルから (開発者 10 人まで),OSS テスト 1,000 件/月,Jira 統合
  • Ignite: エンタープライズ機能 (セルフホスト型 SCM,レポート) を必要とする開発者が 50 人未満の組織向け
  • エンタープライズ: カスタム価格,無制限の開発者,カスタム ポリシー,専用サポート

最適な用途

実用的な修正ガイダンスを既存の GitHub/GitLab ワークフローに組み込むことを望んでおり,洗練された開発者エクスペリエンスに対して喜んでお金を払う開発チーム。特に JavaScript,Python,Java エコシステムに強力です。

3. Grype — 最高の軽量 OSS コンテナ/SCA スキャナ

Grype (Anchore による) は,コンテナ イメージとファイル システムを対象とした,高速で集中的な脆弱性スキャナです。 Trivy の「すべてをスキャンする」アプローチとは異なり,Grype は意図的にパッケージ内の CVE 検出に範囲を絞っています。Grype はその 1 つの仕事を非常にうまく実行し,一般的に包括的なサプライ チェーン分析のために Syft (Anchore の SBOM ジェネレーター) と組み合わせて使用​​されます。

主な機能

  • コンテナイメージ,OCIアーカイブ,Dockerデーモン,およびファイルシステムをスキャンします。
  • 深い言語パッケージのサポート: Python,Ruby,Java JAR,npm,.NET,Go バイナリ
  • SBOM ファーストのワークフローのために Syft と統合 (SBOM を一度生成し,繰り返しスキャン)
  • 重大度,パッケージ名,または CVE ID による一致フィルタリング
  • SARIF,JSON,およびテーブル出力形式

長所

  • 非常に高速 — 厳しい CI/CD 時間の予算に適しています
  • 優れた Go バイナリ スキャン (コンパイルされたバイナリ内の脆弱な stdlib バージョンを検出)
  • クリーンな JSON 出力,ポリシー エンジンへのパイプライン処理が容易
  • 軽量 — 単一バイナリ,デーモンなし
  • SaaS ダッシュボード + ポリシー管理のための Anchore Enterprise との強力な統合

短所

  • IaC スキャンなし,SAST なし
  • 秘密の検出なし
  • SaaS 管理レイヤーには Anchore Enterprise (商用) が必要です
  • 一部の OS アドバイザリ データベースでは,Trivy よりも小さいルール セット

価格設定

無料のオープンソース (Apache 2.0)。 Anchore Enterprise は,商用価格で SaaS 管理,コンプライアンス レポート,ランタイム保護を追加します。

最適な用途

SBOM ワークフローときれいに統合される 高速でスクリプト可能な CVE スキャナーを必要とするチーム。大統領令 14028 (米国連邦ソフトウェア サプライ チェーン要件) に従って SBOM ファーストのセキュリティ体制を採用している組織に特に適しています。

4. OWASP 依存関係チェック — Java/JVM エコシステムに最適

OWASP dependency-check は,プロジェクトの依存関係を特定し,既知の公開された脆弱性をチェックするベテランの SCA ツールです。特に JVM 言語エコシステム (Java,Kotlin,Scala,Groovy) に強く,ネイティブ Maven および Gradle プラグインをサポートしています。

主な機能

  • Java,.NET,JavaScript (npm),Ruby などをサポート
  • 一次ソースとしての NVD (National Vulnerability Database)
  • HTML,XML,JSON,CSV,SARIF レポート形式
  • Maven プラグイン,Gradle プラグイン,Ant タスク,CLI
  • XML設定による誤検知抑制

長所

  • 完全無料,OWASP 管理 (ベンダーロックインなし)
  • ネイティブ Maven/Gradle 統合 - 追加の CI ステップは不要
  • コンプライアンス目的のための優れた監査証跡
  • 規制された業界 (銀行,医療) で広く受け入れられています

短所

  • 初回実行時に遅い (大きな NVD データ ファイルをダウンロードする)。後続の実行はローカルにキャッシュされます
  • API キーが適切に設定されていない場合,NVD API レート制限によりパイプライン遅延が発生する可能性があります
  • 既知の CVE に限定 - 構成ミスや秘密は対象外です
  • UI/レポートは機能的ですが,商用代替品と比較すると時代遅れです
  • 多くのエコシステムを備えた多言語モノリポジトリには適していません

価格設定

無料のオープンソース (Apache 2.0)。

最適な用途

Maven または Gradle ビルドと自然に統合される,コストゼロで監査可能な SCA ツールを必要とする,規制された業界の Java を多用するチーム

5. Semgrep — カスタム SAST ルールに最適

Semgrep は,セキュリティ チームとエンジニアリング チームがシンプルで読みやすいパターン言語でカスタム ルールを作成できる,高速なオープンソース静的分析エンジンです。 30 以上の言語をサポートしており,セキュリティの脆弱性,API の誤用,コード品質の問題を検出するための数千のコミュニティ ルールとプロ ルールのレジストリがあります。

主な機能

  • SAST (静的アプリケーション セキュリティ テスト) - 独自のコード内のバグを検出します
  • SCA — Semgrep サプライ チェーン経由 (到達可能性のある OSS 依存関係分析)
  • 秘密の検出 — Semgrep Secrets 経由
  • 直感的なパターン構文でのカスタム ルールの作成
  • 誤検知を減らすためのデータフロー分析
  • IDE 拡張機能 (VS Code,IntelliJ)

DevOps チームがそれを好む理由

Semgrep の最大の特徴は,複雑さを伴わずにルールをカスタマイズできることです。 Python の eval() または JavaScript の innerHTML 割り当てにフラグを付けるルールを記述するには,独自の DSL を学習するのに数日かかるのではなく,数分かかります。製品チームに組み込まれているセキュリティ推進者は,独自のコードベースの特定のパターンのルールを作成し,コードとともに進化する生きたセキュリティ ポリシーを作成できます。

Semgrep サプライ チェーンの到達可能性分析も特に役立ちます。脆弱な関数がインポートされているものの実際には呼び出されない OSS CVE アラートを抑制し,ノイズを大幅に削減します。

長所

  • 高速 — ファイルごとに 1 秒未満の分析ですべての PR で実行されるように設計されています
  • 言語に依存しないルール形式 — 1 つのスキルが Python,JS,Go,Java などに適用されます。
  • 大規模なコミュニティ ルール レジストリ (Semgrep レジストリ)
  • SCA の到達可能性フィルタリング (誤検知アラートの減少)
  • SARIF 出力,GitHub Advanced Security の統合
  • 最大 10 人の寄稿者は無料

短所

  • コンテナまたは IaC スキャナではありません (一部の IaC ルールは存在しますが,適用範囲は限られています)
  • データフロー分析では,一部の複雑な脆弱性パターンを見逃す可能性があります
  • エンタープライズ機能 (シークレット,サプライ チェーン PRO,マネージド スキャン) にはチーム/エンタープライズ プランが必要です
  • コミュニティ レジストリのルールの品質はさまざまです - 精査が必要です

価格設定

  • 無料 (コミュニティ): 最大 10 人の寄稿者,Semgrep コード経由の SAST,基本的な SCA
  • チーム: カスタム価格設定,高度な SCA (Semgrep サプライ チェーン),Semgrep シークレット,トリアージ ワークフロー
  • エンタープライズ: カスタム価格設定,マネージド スキャン,SSO,監査ログ,専用サポート

最適な用途

セキュリティの知識をカスタム ルールとして成文化し,コミットごとに高速 SAST を実行したいと考えているエンジニアリング チーム。また,Trivy のようなコンテナ スキャナーの上のレイヤーとしても優れており,Trivy ではカバーできないコード レイヤーをカバーします。

6. Checkov — IaC セキュリティ スキャンに最適

Checkov (Bridgecrew/Palo Alto Networks 提供) は,Infrafraction as Code セキュリティのための主要なオープンソースの Policy-as-Code ツールです。 Terraform,CloudFormation,Kubernetes マニフェスト,Helm チャート,ARM テンプレート,Bicep,サーバーレス フレームワークなどを,CIS ベンチマーク,NIST,PCI-DSS,SOC2,HIPAA フレームワークから派生した何百もの組み込みポリシーに対してチェックします。

主な機能

  • すべての主要な IaC フレームワークにわたる 1,000 以上の組み込みポリシー
  • Python または YAML でのカスタム ポリシーの作成
  • Terraform のグラフベースの分析 (リソースの関係を理解する必要がある問題を検出します)
  • SARIF,JUnit XML,JSON 出力
  • パイプラインを中断することなく段階的に採用するための「–soft-fail」フラグ
  • SaaS ポリシー管理とレポート作成のための Prisma Cloud との統合

DevOps チームがそれを好む理由

Checkov は,インフラストラクチャがプロビジョニングされる前の「terraform plan」フェーズで実行され,クラウドの構成ミスを発見するための最も早いゲートとなります。一般的なチェックでは次のようなものが検出されます。

  • サーバー側の暗号化が有効になっていない S3 バケット
  • ポート 22 に「0.0.0.0/0」が入っているセキュリティ グループ
  • root として実行される Kubernetes ポッド
  • 削除保護のない RDS インスタンス
  • 過度に寛容な IAM ロールを持つ Lambda 関数

これらは,クラウド侵害の大部分を引き起こす日常的な構成ミスであり,ゼロデイエクスプロイトではなく,自動化されたポリシー適用によって排除される基本的な衛生上の欠陥です。

長所

  • 完全に無料のオープンソース (Apache 2.0)
  • オープンソース ツールの中で最も幅広い IaC フレームワークをカバー
  • グラフベースの Terraform 分析により,複数のリソースの問題を検出します
  • 段階的に導入するための簡単な「–framework」および「–check」フィルタリング
  • 強力な CI/CD 統合: GitHub Actions,GitLab CI,Jenkins,プリコミットフック
  • SaaS 管理が必要なチーム向けの Prisma Cloud 統合

短所

  • IaC に限定されます — コンテナ スキャナーや SAST ツールではありません
  • Python でのカスタム ポリシーの作成にはエンジニアリングの労力が必要です
  • 大規模なポリシー セットは,従来のコードベースでノイズの多い出力を生成します (最初は --soft-fail を使用します)
  • Prisma Cloud 商用層 (ダッシュボードとドリフト検出用) は高価です

価格設定

無料のオープンソース (Apache 2.0)。 Prisma Cloud (Palo Alto Networks) は,エンタープライズ SaaS レイヤーにドリフト検出,抑制管理,コンプライアンス ダッシュボードを提供し,価格はカスタム見積もりで設定されます。

最適な用途

GitOps または Terraform 主導のワークフローの一環として 展開前にクラウドの構成ミスを防止したい,プラットフォーム エンジニアリングおよびインフラストラクチャ チーム。 GitOps ツール と連携して美しく機能します。

CI/CD 統合のヒント

開発者の速度を損なうことなく脆弱性スキャンをパイプラインに取り込むには,少し考える必要があります。うまく機能するパターンは次のとおりです。

CRITICAL でフェイルファスト,HIGH で警告

すべての中規模 CVE で PR をブロックしないでください。アラート疲れが生じ,開発者がゲートを回避して作業することになります。実際のしきい値:

  • 重大: ハード フェイル,ブロック マージ
  • : ソフト失敗,PR に詳細をコメント
  • 中/低: レポートのみ,マージブロックなし

ほとんどのツールは,CLI フラグによる重大度フィルタリングをサポートしています (Trivy では「–severity CRITICAL,HIGH」,Grype では「–fail-on Critical」)。

キャッシュを使用してスキャンを高速に保つ

Trivy と Grype は両方ともローカルの脆弱性データベースを維持しています。実行のたびにデータベース全体がダウンロードされるのを避けるために,~/.cache/trivy または ~/.cache/grype ディレクトリを CI キャッシュにキャッシュします。これにより,スキャン時間が大幅に短縮されます。

複数点でのスキャン

最も効果的な DevSecOps パイプラインは,複数の段階でスキャンします。

  1. IDE/プリコミット — Snyk IDE プラグインまたは Semgrep は,コードの作成時に問題を検出します。
  2. PR チェック — 変更されたコンテナーの Trivy/Grype,変更されたファイルの Semgrep SAST,変更された IaC の Checkov
  3. レジストリ プッシュコンテナ レジストリ にプッシュする前に,最終イメージの完全な Trivy スキャン
  4. スケジュール済み — Snyk または Trivy を使用した夜間のフルリポジトリ スキャンにより,固定された依存関係に対して新しく公開された CVE を検出します

SARIF をエクスポートして一元的に可視化する

Trivy,Grype,Semgrep,および Checkov はすべて SARIF 出力をサポートしています。 GitHub の [セキュリティ] タブでは,SARIF がネイティブに取り込まれ,個別の SIEM やセキュリティ ダッシュボードを使用せずに,すべてのツールにわたる検出結果を一元的に表示できます。これは,GitHub ネイティブ チームにとって脆弱性の可視性を統合するための最も簡単な方法です。

ユースケース別の推奨ツールの組み合わせ

使用事例推奨スタック
スタートアップ,オールインワン,予算ゼロTrivy + Semgrep (両方とも OSS)
Java を多用する企業,コンプライアンス重視Trivy + OWASP 依存関係チェック + Checkov
開発者のエクスペリエンスを優先,予算はご利用いただけますSnyk (すべてのモジュール)
多言語コードベース,カスタム セキュリティ ルールセムグレップ + トリビー
IaC を多用した Terraform プラットフォーム チームチェコフ + トリビー
SBOMファーストのサプライチェーンコンプライアンスシフト + グライプ + トリビー
DevSecOps の完全な成熟度トリビー + セムグレップ + チェコフ + スニック

ゼロから始めるチームの場合,Trivy + Semgrep の組み合わせがゼロコストで最も広い表面積をカバーします。Trivy はコンテナー,IaC,OSS CVE を処理します。 Semgrep は,アプリケーション コードのカスタム SAST ルールを処理します。重要な Terraform インフラストラクチャを管理している場合は Checkov を追加し,チームが自動修正 PR を使用して洗練された開発者 UX を必要とする場合は Snyk を評価します。

さらに読む

これらのツールの背後にあるセキュリティ原則をより深く理解するには,次の書籍を机の上に置いておくとよいでしょう。

  • Container Security by Liz Rice — コンテナのセキュリティをカーネルから理解するための決定的なリファレンス。コンテナーのセキュリティ戦略を所有するすべての人にとって必読の書。
  • Hacking: The Art of Exploitation by Jon Erickson — 攻撃者の考え方を理解することで,より優れた防御者になれます。 CVE 重大度評価の背後にある「理由」を理解したい DevSecOps エンジニアに強くお勧めします。

こちらもご覧ください: 2026 年のクラウド コスト最適化ツール — セキ​​ュリティ スキャン インフラストラクチャには,最適化する価値のある独自のコスト フットプリントがあるためです。そして,人間側の脆弱性防止を補完するための AI コード レビュー ツール 2026 です。

よくある質問

2026 年の DevOps パイプラインに最適な無料の脆弱性スキャン ツールは何ですか?

Trivy は,2026 年において最も汎用性の高い無料オプションです。Trivy は,コンテナ イメージ,IaC ファイル,ファイル システム,Git リポジトリをスキャンして,CVE,構成ミス,シークレットをすべて単一の CLI ツールで無料でスキャンします。アプリケーション コードを SAST でカバーするには,Trivy と Semgrep の無料コミュニティ層 (最大 10 人の寄稿者) を組み合わせてください。

脆弱性スキャンにおける SAST と SCA の違いは何ですか?

SAST (静的アプリケーション セキュリティ テスト) は,SQL インジェクション,XSS パターン,安全でない暗号の使用,ハードコードされたシークレットなどのセキュリティ バグがないか独自のソース コードを分析します。 SCA (ソフトウェア構成分析) は,既知の CVE に対するサードパーティのオープンソースの依存関係を分析します。完全な DevSecOps パイプラインでは通常,コードには Semgrep などの SAST ツール,依存関係には Trivy,Grype,Snyk Open Source などの SCA ツールの両方が使用されます。

Trivy を GitHub Actions に統合するにはどうすればよいですか?

公式の「aquasecurity/trivy-action」を使用してください。ワークフロー YAML にステップを追加します。「image-ref」 (コンテナー スキャンの場合) または「scan-type: ‘fs’」 (ファイルシステム/リポジトリ スキャンの場合) を指定します。 「format: ‘sarif’」を設定し,「actions/upload-sarif」を使用して出力を GitHub のコード スキャンにアップロードすると,リポジトリの [セキュリティ] タブで結果が表示されます。重大な結果が見つかった場合にワークフローを失敗させるには,「severity: CRITICAL,HIGH」および「exit-code: ‘1’」を設定します。

Snyk は Trivy のような無料ツールと比較してコストに見合う価値がありますか?

それはチームの優先事項によって異なります。無料ツールに対する Snyk の主な利点は,自動化された修正プル リクエスト (開発者の時間を大幅に節約する),コードの作成時に問題が表面化する洗練された IDE 統合,SCA + SAST + コンテナ + IaC の結果を統合したダッシュボードです。開発者のエクスペリエンスと修復速度がツールのコストよりも重要である場合,Snyk は多くの場合,修復までの時間を短縮することで元が取れます。予算に制約のあるチーム,または CLI ツールに慣れているチームの場合,Trivy + Semgrep は同じ領域のほとんどをゼロコストでカバーします。

DevOps における「シフトレフト セキュリティ」とは何ですか?

シフトレフト セキュリティとは,セキュリティ チェックをソフトウェア開発ライフサイクルの早い段階,つまり従来のウォーターフォール タイムラインの左側に移動することを意味します。シフトレフトの実践では,製品リリースの前にのみセキュリティ スキャンを実行するのではなく,開発者の IDE,すべてのプル リクエスト,およびすべての CI/CD パイプライン ステージで脆弱性スキャンを実行します。目標は,修正が最も安価なときに,つまりコードがデプロイされた後ではなく,コードがマージされる前に脆弱性を発見することです。

Checkov は Terraform だけでなく Kubernetes マニフェストもスキャンできますか?

はい。 Checkov は,Kubernetes YAML マニフェスト,Helm チャート,KusTOMize ファイル,Terraform,CloudFormation,ARM テンプレート,Bicep,Ansible,およびその他のいくつかの IaC 形式をサポートしています。スキャンを特定のフレームワークに制限するには,「–framework」フラグを使用します。 Kubernetes の場合,Checkov は,root として実行されているポッド,リソース制限の欠如,「hostNetwork」または「hostPID」が有効になっているコンテナなど,一般的なセキュリティ構成ミスをチェックします。

DevOps パイプラインで脆弱性スキャンはどのくらいの頻度で実行する必要がありますか?

2026 年のベスト プラクティスは,複数の時点でスキャンすることです。つまり,コードの作成時の IDE での軽量 SAST,すべてのプル リクエストでのフル スキャン,コンテナー レジストリのプッシュ時のスキャン,新しく公開された CVE をキャッチするための固定されたすべての依存関係の定期的な夜間または毎週のスキャンです。新しい脆弱性は毎日公開されるため,依存関係の 1 つに対して新しい CVE が公開されると,先週スキャンに合格したコードでも今日脆弱になる可能性があります。