効率的な脆弱性管理を実現するスキャンツール「Grype」のご紹介 NRI OSSソリューションマガジン 2026.6.10発行 Vol.234
1. 効率的な脆弱性管理を実現するスキャンツール「Grype」のご紹介
昨今、OSSの活用が一般的になる一方で、利用ライブラリに含まれる脆弱性への対策が急務となっています。
特に、ソフトウェア・サプライチェーンの安全性を確保する観点から、ソフトウェア部品構成表(SBOM)を活用した脆弱性管理の重要性が高まっています。
今回は、SBOMやパッケージ定義ファイルを活用して、効率的に既知の脆弱性を検出できるOSS「Grype(グライプ)」をご紹介します。
Grypeは、主に以下の特徴を持つ脆弱性スキャンツールです。
・多様なスキャン対象:SBOMファイル、コンテナイメージ、ファイルシステム上のパッケージ定義などをソースとして解析可能
・高速な解析:独自の脆弱性データベースをローカルにキャッシュする仕組みにより、短時間でのスキャンを実現
・広範な言語対応:Java、Python、Go、JavaScript、Ruby、Rustなど、主要なプログラミング言語のパッケージに対応
例えば、Java(Gradle)プロジェクトであれば、「CycloneDX Gradle Plugin」などのプラグインを用いてビルド時にSBOMを自動生成し、その情報をGrypeに渡すことで、依存関係に基づいた精度の高い脆弱性診断が行えます。
そのため、開発プロセスの早期にセキュリティ対策を行う「Shift Left」の実現に役立ちます。
また、GitLabなどのCI/CDツールへの統合も容易です。
JSONやSARIF形式での結果出力に対応しているため、自動テストの工程に組み込み、重大な脆弱性が発見された場合にチャットツールなどに通知させるといった運用がスムーズに行えます。
これらより、Grypeを用いることで既存の開発フローの利便性を損なわずにセキュリティ強化を実現できます。
詳細については、以下のリポジトリなどをご確認ください。
GrypeのGitHubリポジトリ
https://github.com/anchore/grype
効率的かつ精度の高い脆弱性管理を検討されている方は、ぜひGrypeをお試しください!
OpenStandiaではOSSの技術サポートを提供しています。
現在のサポート対象OSSは、下記OpenStandiaサイトからご確認いただけます。
◆OpenStandiaサポート対象OSS一覧
https://openstandia.jp/services/#supportlist
2.OSS紹介ページ 今月のアップデート(新規:1件、更新:2件)
(新規)
OpenCode (https://openstandia.jp/oss_info/opencode/)
(更新)
Go言語(Golang) (https://openstandia.jp/oss_info/go/)
Apache Kafka (https://openstandia.jp/oss_info/apachekafka/)
3.OSS紹介ページ 先月のアクセスランキングTOP10
オープンソース情報ページ「OpenStandia OSS紹介」のアクセスTOP10をご紹介
→ 1位 (1位) Ollama (https://openstandia.jp/oss_info/ollama/)
→ 2位 (2位) PostgreSQL (https://openstandia.jp/oss_info/postgresql/)
→ 3位 (3位) Apache Tomcat (https://openstandia.jp/oss_info/tomcat/)
↑ 4位 (5位) Spring Boot (https://openstandia.jp/oss_info/springboot/)
↑ 5位 (9位) Nginx (https://openstandia.jp/oss_info/nginx/)
→ 6位 (6位) MySQL (https://openstandia.jp/oss_info/mysql/)
→ 7位 (7位) Apache HTTP Server (https://openstandia.jp/oss_info/apache/)
↑ 8位 (ランク外) Red Hat Enterprise Linux (https://openstandia.jp/oss_info/redhatenterpriselinux/)
↑ 9位 (ランク外) MarkItDown (https://openstandia.jp/oss_info/markitdown/)
↓ 10位 (8位) PHP (https://openstandia.jp/oss_info/php/)
※( )内は前月の順位
◆OSS総合情報ページ「OpenStandia OSS紹介」はこちら
https://openstandia.jp/oss_info/
4.今月注目のバグ&セキュリティ情報
【Apache Tomcat】 セキュリティ制約の不正適用 (CVE-2026-43515)
Apache Tomcat において、複数のメソッド制約が同じ拡張機能に対してHTTP メソッドを定義している場合に、認証が不適切になる脆弱性があります。
Apache Tomcat では、同じ拡張子パターンに対して複数の HTTP メソッドがある場合、最初に定義したメソッドのみが適用されます。
その結果、本来アクセス制限されるべき HTTP メソッドが制限されず、認可バイパスにつながる可能性があります。
この問題は、Apache Tomcat の 11.0.0-M1 ~ 11.0.21、10.1.0-M1 ~ 10.1.54、9.0.0.M1 ~ 9.0.117、8.5.0 ~ 8.5.100、7.0.0 ~ 7.0.109 に影響します。
主な回避策は以下になります。
1.修正されているバージョン 11.0.22、10.1.55、または 9.0.118 にアップグレードする
2.同じ拡張子パターンに対するメソッド制約を複数に分けず、1つの web-resource-collection にまとめる
3.http-method を省略して全メソッドを保護する
ただし、2、3はあくまで暫定的な回避策であるため、修正されているバージョンにアップグレードすることをお勧めします。
本脆弱性の影響を受ける環境は下記となります。
・Apache Tomcat
7.0.0 ~ 7.0.109
8.5.0 ~ 8.5.100
9.0.0 ~ 9.0.118 より前
10.1.0 ~ 10.1.55 より前
11.0.0 ~ 11.0.22 より前
関連情報
・National Vulnerability Database
https://nvd.nist.gov/vuln/detail/CVE-2026-43515
・Common Vulnerabilities and Exposures (CVE)
https://www.cve.org/CVERecord?id=CVE-2026-43515
OpenStandia年間サポートサービスでは毎週、セキュリティアラートに関する情報、およびバグFIXに関する情報を提供しています。
◆OpenStandiaオープンソース年間サポートサービスのご紹介
https://openstandia.jp/services/
