grypeは脆弱性検知ツールの一つであり，SBOMをスキャンすることで各ソフトウェアがどのような脆弱性に脅かされているかを検知できます。また，grypeの開発元はsyftと同じであり，syftと連携することを考え作られています。
grype公式ドキュメントには、grypeの様々な機能詳細や仕様、環境変数の設定について記述されています。この記事では、自分が使う上で、使用頻度の高い機能について、紹介します。

検証環境

• Ubuntu 22.04.3 LTS (WSL2)

• install方法
  • 0. 解凍用の一時的なファイルの作成
  • 1. grypeのバイナリファイルの取得
  • 2. grypeのバイナリファイルの解凍
  • 3. grypeのpathを通す
• grype DB (データベース)
  • 1. DBリスト取得
  • 2. grype DBの設置
  • 3. grype DBのバージョン確認
  • grype DB管理用のコマンド
  • grype DBの注意点
• grypeでSBOMをスキャンしてみる

install方法

まず、grypeを使うためにそのインストール方法について説明します。インストール方法はsyftの場合とほぼ同じです。

0. 解凍用の一時的なファイルの作成

まず、grypeを解凍するための一時的なディレクトリを作成し、そのディレクトリへ移動します：

$ mkdir /tmp/grype/ && cd /tmp/grype/

1. grypeのバイナリファイルの取得

grypeのリリース情報から、アーカイブファイルを取得します。
今回は、grype-v0.69.0から、バージョン0.69.0のgrypeのアーカイブであるgrype_0.69.0_linux_amd64.tar.gzを取得します：

$ wget https://github.com/anchore/grype/releases/download/v0.69.0/grype_0.69.0_linux_amd64.tar.gz

2. grypeのバイナリファイルの解凍

そして、解凍行います：

$ tar xvf grype_0.69.0_linux_amd64.tar.gz

解凍後、以下のように結果が出力されます：

CHANGELOG.md
LICENSE
README.md
grype

3. grypeのpathを通す

最後にgrypeを実行するために適切な場所へgrypeバイナリを移動します：

$ sudo mv grype /usr/local/bin

今回は、/usr/local/binへgrypeを配置しました。
一時的なディレクトリ/tmp/grypeは必要ないので削除してしまってもよいです：

$ cd ~
$ rm -rf /tmp/grype/

grypeの場所とバージョンを確認し、以下のように出力されていれば、grypeのインストールは成功です：

$ grype version
Application:         grype
Version:             0.69.0
BuildDate:           2023-09-20T20:56:04Z
GitCommit:           da3de94842f51059f32409289d863792726f83ba
GitDescription:      v0.69.0
Platform:            linux/amd64
GoVersion:           go1.21.1
Compiler:            gc
Syft Version:        v0.91.0
Supported DB Schema: 5

$ which grype
/usr/local/bin/grype

grype DB (データベース)

grypeは専用の脆弱性データベースを用いて、脆弱性のスキャンを行います。ここでは、grypeでスキャンをする前に、grype DBの使い方を説明します。grypeをインストール後、自分のローカル環境にgrype DBを配置する必要があります。grype dbコマンドを用いてgrypeデータベースに関する操作を行うことができます。

1. DBリスト取得

まず、以下のコマンドで、grype DBのリストを取得します：

grype db list

このとき、以下のようにgrype DBの一覧が取得できます

Built:    2023-10-06 01:24:11 +0000 UTC
URL:      https://toolbox-data.anchore.io/grype/databases/vulnerability-db_v5_2023-10-06T01:24:11Z_3efb2852b6383a7809d2.tar.gz
Checksum: sha256:c38ff0785a05c528d2038333c397f4a1e2164bc0ebe5f429484110ffc9e5a980

Built:    2023-10-05 01:24:28 +0000 UTC
URL:      https://toolbox-data.anchore.io/grype/databases/vulnerability-db_v5_2023-10-05T01:24:28Z_17b232c51ce3734f92f5.tar.gz
Checksum: sha256:d842e5fd5c1f2ca0a0864e8a98698727ca6b0fb49928cc55ec14f752bfaeda68

Built:    2023-10-04 01:25:27 +0000 UTC
URL:      https://toolbox-data.anchore.io/grype/databases/vulnerability-db_v5_2023-10-04T01:25:27Z_22681858d0461218ab2a.tar.gz
Checksum: sha256:86afbdc332df0360e9775d71b97a75a0510dfe13529111abd9e206df1088034c
.............
.............

grypeのデータベースは毎日更新されています。

2. grype DBの設置

リストを取得後、以下のコマンドを用いて最新のデータベースを取得し、配置します：

$ wget https://toolbox-data.anchore.io/grype/databases/vulnerability-db_v5_2023-10-06T01:24:11Z_3efb2852b6383a7809d2.tar.gz

$ grpye db import <脆弱性DBのtar.gz>
Vulnerability database imported

自分の場合、脆弱性DBのtar.gzはvulnerability-db_v5_2023-10-06T01:24:11Z_3efb2852b6383a7809d2.tar.gzでした。

これで、ローカル上にgrype DBを設置することができました。DBの場所はユーザーのディレクトリhome/usr名の.cache/grypeというディレクトリに存在しています。

3. grype DBのバージョン確認

以下のコマンドを実行すると、現在使用しているgrype DBの情報を見ることができます：

$ grype db status
Location:  /home/usr名/.cache/grype/db/5
Built:     2023-10-06 01:24:11 +0000 UTC
Schema:    5
Checksum:  sha256:bf2bcf8cedf4230cb37bf1e3a322a1d251a51683829968bd7554ff8e81995930
Status:    valid

grype DB管理用のコマンド

gryoe DBを管理するためのコマンドをここでまとめておきます
grype db status : 現在のgrype DBの状態を確認できる。DBの場所、ビルドされた日付、checksumを確認できる。

grype db check DBに対して、アップデートが可能かどうかを見ることができます。

grype db update : 最新のlatestのDBが.cacheディレクトリへダウンロードされる。デフォルトでgrypeではスキ—ャンするたびに最新のDBにアップデートされる。

grype db list : ダウンロード可能なDB、そのURLを確認することができる。

grype db import : grype DBのアーカイブを使って、DBをダウンロードできる。

grype db --help : コマンドに関する情報を確認することができる。

grype DBの注意点

grype DBは毎日最新のDBに更新されており、正確な脆弱性状を手に入れるために、grypeスキャン時に最新のDBにアップデートしていく必要があります。また、ローカルのDBが過去5日以内にbuildされていない場合、grypeのスキャン実行に失敗するため注意が必要です。

grypeでSBOMをスキャンしてみる

チュートリアルとして、SBOM生成ツールsyftで生成したSBOMをスキャンし、脆弱性データを見ていきます。前回の記事SBOM生成ツールSyftの使い方で作成したディレクトリsyft-testへ移動してください。そこに前回作成したSBOM syft-python.jsonがあるはずです。そのSBOMに対して、以下のコマンドを実行することでスキャンできます：

$ grype sbom:./syft-python.json -o table=scan.txt
 ✔ Vulnerability DB                [no update available]
 ✔ Scanned for vulnerabilities     [791 vulnerability matches]
   ├── by severity: 3 critical, 60 high, 227 medium, 30 low, 453 negligible (18 unknown)
   └── by status:   21 fixed, 770 not-fixed, 0 ignored

grype DBから791件の一致する脆弱性が発見されたことがわかります。
スキャン結果scan.txtを見てみると、以下のようになっています。今回は抜粋して掲載します：

NAME                          INSTALLED                FIXED-IN           TYPE    VULNERABILITY     SEVERITY   
apt                           2.6.1                                       deb     CVE-2011-3374     Negligible
libc-bin                      2.36-9+deb12u1           2.36-9+deb12u3     deb     CVE-2023-4911     High      
libwmf-dev                    0.2.12-5.1                                  deb     CVE-2007-3476     Low       
linux-libc-dev                6.1.52-1                                    deb     CVE-2023-25775    Critical    
python3.11                    3.11.2-6                                    deb     CVE-2023-40217    Medium      
...........
...........
...........

ここで、スキャン結果の注目すべき特徴について説明します。まず、スキャンテーブルのヘッダーの項目はそれぞれ以下を表しています：

• NAME : パッケージの名前
• INSTALLED : インストールされているパッケージのバージョン
• FIXED-IN : ソフトウェアの脆弱性が修正され、セキュリティパッチが適用されたバージョン
• TYPE : パッケージのタイプ
• VULNERABILITY : 脆弱性に対してつけられた識別子が出力される。今回のスキャンでは、CVE識別番号と呼ばれる識別子がつけられている。
• SEVERITY : Critical, High, Medium, Low, Negligibleのレベルで分類されており、HighやCriticalと判定されたパッケージに対しては、その脆弱性を調べ、対策することを推奨されている。

重要なFIXED-INについて、詳しく説明します。日本語では「修正された」という意味です。「修正された」とは、ソフトウェアの脆弱性が修正され、セキュリティパッチが適用されたことを意味します。つまり、脆弱性に対するセキュリティアップデートが提供されており、FIXED-INでは、そのアップデートが適用されたバージョンが存在しており、そのバージョンについて記述されています。
例えば、今回の例を見てみましょう：

NAME                          INSTALLED                FIXED-IN           TYPE    VULNERABILITY     SEVERITY   
libc-bin                      2.36-9+deb12u1           2.36-9+deb12u3     deb     CVE-2023-4911     High

ここでは、libc-binというパッケージのバージョン 2.36-9+deb12u1 に対して、脆弱性が検知されています。そして、バージョン 2.36-9+deb12u1 に存在した CVE-2023-4911という脆弱性が、バージョン 2.36-9+deb12u3 で修正され、セキュリティの問題が解決されたことを意味しています。

したがって、すでに修正された脆弱性については、ユーザーがFIXED-INを見て、そこに記述されたバージョンをインストールすることで、脆弱性によるセキュリティの問題を解決することができる。一方、FIXED-IN項目が空欄になっている、すなわち、「修正されていない」脆弱性は、セキュリティアップデートがまだ提供されておらず、脆弱性が依然として存在する状態を指しています。

脆弱性が修正されたパッケージのみを出力したい場合は、grypeのコマンドにフラグ--only-fixedを使えばよく、一方、脆弱性が修正されていないパッケージのみを出力したい場合は--only-notfixedフラグを使います。

実行例でも見たようにgrypeによるスキャンは、大量の脆弱性を検知します。そのため、FIXED-IN項目や脆弱性のレベルを観測し、重要なものだけ抽出することで確認すべき脆弱性の数を減らせることができ、これらがgrypeの運用において重要になります。