自社のk8sで動くコンテナイメージをtrivy operatorを利用してスキャンしている。

自社ではコンテナイメージをプライベートレジストリに格納して利用しているので、必然とプライベートレジストリにtrivyからアクセスできる必要がある。その場合に、公式はいくつかの認証情報の埋め込みをサポートしている。

aquasecurity.github.io

Operator Access to Private Registries - Trivy Operator

https://aquasecurity.github.io/trivy-operator/v0.5.0/tutorials/private-registries/#fourth-option-define-secrets-through-trivy-operator-configuration

Kubernetes-native security toolkit

諸般の事情で Define Secrets through Trivy-Operator configuration のパターンを設定していたのだが、どうも上手くいかない。結局ソースを読む羽目になるのだが、ご丁寧にSecretリソースのtypeを見ているようだった。

GitHub

trivy-operator/secrets.go at b52acbce1305d4b0027504bbe7331294c5eec774 · aquas...

https://github.com/aquasecurity/trivy-operator/blob/b52acbce1305d4b0027504bbe7331294c5eec774/pkg/kube/secrets.go#L63

Kubernetes-native security toolkit. Contribute to aquasecurity/trivy-operator development by creating an account on GitHub.

もちろんドキュメントにも下記のように書かれている。

kind: Secret
type: kubernetes.io/dockerconfigjson
apiVersion: v1
metadata:
  name: dockerconfigjson-github-com
  labels:
    app: app-name
data:
  .dockerconfigjson: OUTPUT

type: kubernetes.io/dockerconfigjson の部分を見落としていて、1日位時間を溶かしてしまった。