<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom" xmlns:content="http://purl.org/rss/1.0/modules/content/"><channel><title>Syft on Tarragon</title><link>https://tarrragon.github.io/blog/tags/syft/</link><description>Recent content in Syft on Tarragon</description><generator>Hugo -- gohugo.io</generator><language>zh-TW</language><copyright>Tarragon (CC BY 4.0)</copyright><lastBuildDate>Mon, 18 May 2026 00:00:00 +0000</lastBuildDate><atom:link href="https://tarrragon.github.io/blog/tags/syft/index.xml" rel="self" type="application/rss+xml"/><item><title>Syft + Grype</title><link>https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/syft-grype/</link><pubDate>Mon, 18 May 2026 00:00:00 +0000</pubDate><guid>https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/syft-grype/</guid><description>&lt;p>Syft 跟 Grype 是 Anchore 開源的 &lt;em>姐妹工具&lt;/em>（Apache 2.0、免費）、各做一件事、用 pipe 串接成 &lt;em>SBOM-first&lt;/em> 的 supply chain scan 鏈：&lt;strong>Syft&lt;/strong> 掃 container image / 檔案系統 / 目錄、產出標準 SBOM（CycloneDX 1.5+ / SPDX 2.3 / SyftJSON）；&lt;strong>Grype&lt;/strong> 吃 SBOM 或直接 scan target、比對 Grype-DB 回報 CVE。設計哲學是 Unix philosophy — &lt;code>syft image:tag -o cyclonedx-json | grype&lt;/code> 等價於 &lt;code>grype image:tag&lt;/code>、但中間的 SBOM 是 &lt;em>正式 artifact&lt;/em>、可以單獨簽章、單獨保存、單獨給下游消費。跟 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/trivy/" data-link-title="Trivy" data-link-desc="Aqua Security 開源 all-in-one scanner：Container / Filesystem / K8s / IaC &amp;#43; Secret &amp;#43; License &amp;#43; SBOM、Apache 2.0、CI 友善">Trivy&lt;/a> 全包式設計不同、跟 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/snyk/" data-link-title="Snyk" data-link-desc="跨 SCM 多模組 application security platform：Open Source (SCA) &amp;#43; Code (SAST) &amp;#43; Container &amp;#43; IaC &amp;#43; Cloud (CSPM)、Reachability analysis">Snyk&lt;/a> 商業 SaaS 路線也不同。&lt;/p>
&lt;h2 id="服務定位">服務定位&lt;/h2>
&lt;p>Syft + Grype 的核心定位是 &lt;em>SBOM-first 的 OSS supply chain scan tool chain&lt;/em>。SBOM 不是中間產物、是 &lt;em>正式可簽章 artifact&lt;/em>：Syft 產 SBOM 後通常用 &lt;a href="https://docs.sigstore.dev/">Sigstore cosign&lt;/a> &lt;code>attest --predicate sbom.cdx.json&lt;/code> 把 SBOM 簽進 image OCI metadata、跟 image 一起發布；下游團隊 / 客戶 / scan pipeline 拿 &lt;em>trusted SBOM&lt;/em> 跑 Grype、不需要重新 scan image。對 &lt;em>air-gapped 環境&lt;/em>、&lt;em>multi-team handoff&lt;/em>、&lt;em>合規場景&lt;/em>（EO 14028 / FedRAMP 要求交付 CycloneDX 或 SPDX）特別合適。&lt;/p>
&lt;p>跟 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/trivy/" data-link-title="Trivy" data-link-desc="Aqua Security 開源 all-in-one scanner：Container / Filesystem / K8s / IaC &amp;#43; Secret &amp;#43; License &amp;#43; SBOM、Apache 2.0、CI 友善">Trivy&lt;/a> 的差異是 &lt;em>分工 vs 全包&lt;/em>：Trivy 一個 binary 把 SBOM 生成 + vuln scan + IaC + secret + license 都做了；Syft + Grype 拆兩個工具、SBOM 互通流程適合、團隊偏好 Unix philosophy 選這條。功能覆蓋面 Trivy 略廣（含 IaC / secret scan）、Syft 的 SBOM 格式互通性是 OSS reference implementation。跟 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/snyk/" data-link-title="Snyk" data-link-desc="跨 SCM 多模組 application security platform：Open Source (SCA) &amp;#43; Code (SAST) &amp;#43; Container &amp;#43; IaC &amp;#43; Cloud (CSPM)、Reachability analysis">Snyk&lt;/a> 的差異更直接：Snyk 商業 SaaS、覆蓋廣（SAST / IaC / CSPM / Reachability）、有 dashboard 跟 fix PR；Syft + Grype 純 CLI、OSS 免費、聚焦 SBOM + vuln 兩件事、沒 server / 沒 dashboard、要 dashboard 走商業 Anchore Enterprise 或自接 JSON 到 Elasticsearch / Grafana。&lt;/p></description><content:encoded><![CDATA[<p>Syft 跟 Grype 是 Anchore 開源的 <em>姐妹工具</em>（Apache 2.0、免費）、各做一件事、用 pipe 串接成 <em>SBOM-first</em> 的 supply chain scan 鏈：<strong>Syft</strong> 掃 container image / 檔案系統 / 目錄、產出標準 SBOM（CycloneDX 1.5+ / SPDX 2.3 / SyftJSON）；<strong>Grype</strong> 吃 SBOM 或直接 scan target、比對 Grype-DB 回報 CVE。設計哲學是 Unix philosophy — <code>syft image:tag -o cyclonedx-json | grype</code> 等價於 <code>grype image:tag</code>、但中間的 SBOM 是 <em>正式 artifact</em>、可以單獨簽章、單獨保存、單獨給下游消費。跟 <a href="/blog/backend/07-security-data-protection/vendors/trivy/" data-link-title="Trivy" data-link-desc="Aqua Security 開源 all-in-one scanner：Container / Filesystem / K8s / IaC &#43; Secret &#43; License &#43; SBOM、Apache 2.0、CI 友善">Trivy</a> 全包式設計不同、跟 <a href="/blog/backend/07-security-data-protection/vendors/snyk/" data-link-title="Snyk" data-link-desc="跨 SCM 多模組 application security platform：Open Source (SCA) &#43; Code (SAST) &#43; Container &#43; IaC &#43; Cloud (CSPM)、Reachability analysis">Snyk</a> 商業 SaaS 路線也不同。</p>
<h2 id="服務定位">服務定位</h2>
<p>Syft + Grype 的核心定位是 <em>SBOM-first 的 OSS supply chain scan tool chain</em>。SBOM 不是中間產物、是 <em>正式可簽章 artifact</em>：Syft 產 SBOM 後通常用 <a href="https://docs.sigstore.dev/">Sigstore cosign</a> <code>attest --predicate sbom.cdx.json</code> 把 SBOM 簽進 image OCI metadata、跟 image 一起發布；下游團隊 / 客戶 / scan pipeline 拿 <em>trusted SBOM</em> 跑 Grype、不需要重新 scan image。對 <em>air-gapped 環境</em>、<em>multi-team handoff</em>、<em>合規場景</em>（EO 14028 / FedRAMP 要求交付 CycloneDX 或 SPDX）特別合適。</p>
<p>跟 <a href="/blog/backend/07-security-data-protection/vendors/trivy/" data-link-title="Trivy" data-link-desc="Aqua Security 開源 all-in-one scanner：Container / Filesystem / K8s / IaC &#43; Secret &#43; License &#43; SBOM、Apache 2.0、CI 友善">Trivy</a> 的差異是 <em>分工 vs 全包</em>：Trivy 一個 binary 把 SBOM 生成 + vuln scan + IaC + secret + license 都做了；Syft + Grype 拆兩個工具、SBOM 互通流程適合、團隊偏好 Unix philosophy 選這條。功能覆蓋面 Trivy 略廣（含 IaC / secret scan）、Syft 的 SBOM 格式互通性是 OSS reference implementation。跟 <a href="/blog/backend/07-security-data-protection/vendors/snyk/" data-link-title="Snyk" data-link-desc="跨 SCM 多模組 application security platform：Open Source (SCA) &#43; Code (SAST) &#43; Container &#43; IaC &#43; Cloud (CSPM)、Reachability analysis">Snyk</a> 的差異更直接：Snyk 商業 SaaS、覆蓋廣（SAST / IaC / CSPM / Reachability）、有 dashboard 跟 fix PR；Syft + Grype 純 CLI、OSS 免費、聚焦 SBOM + vuln 兩件事、沒 server / 沒 dashboard、要 dashboard 走商業 Anchore Enterprise 或自接 JSON 到 Elasticsearch / Grafana。</p>
<p>關鍵 first-class concept：<strong>Source</strong>（OCI image / OCI archive / Docker daemon / dir / file / 既有 SBOM）、<strong>Catalog</strong>（Syft 內部 package inventory 結構）、<strong>Package</strong>、<strong>Vulnerability</strong>、<strong>Match</strong>（Grype 的 package ↔ CVE 配對）、<strong>Match Configuration</strong>（<code>grype.yaml</code> 設 severity gate / 比對策略）、<strong>Vulnerability DB</strong>（Grype-DB、Anchore 聚合 NVD + GHSA + 各 distro secdb）、<strong>Ignore Rule</strong>（CVE 例外、強制帶 expiration）。</p>
<h2 id="本章目標">本章目標</h2>
<p>讀完本頁、讀者能判斷：</p>
<ol>
<li>Syft 跟 Grype 各自的責任邊界、為什麼拆兩個工具比合一個工具好（SBOM 互通、attestation、air-gapped）</li>
<li>SBOM 格式（CycloneDX / SPDX / SyftJSON）的選擇、跟合規要求對應</li>
<li>Grype Match Configuration 跟 Ignore Rule 怎麼設、CI fail 條件怎麼定</li>
<li>何時改走 <a href="/blog/backend/07-security-data-protection/vendors/trivy/" data-link-title="Trivy" data-link-desc="Aqua Security 開源 all-in-one scanner：Container / Filesystem / K8s / IaC &#43; Secret &#43; License &#43; SBOM、Apache 2.0、CI 友善">Trivy</a> 全包式、何時走 <a href="/blog/backend/07-security-data-protection/vendors/snyk/" data-link-title="Snyk" data-link-desc="跨 SCM 多模組 application security platform：Open Source (SCA) &#43; Code (SAST) &#43; Container &#43; IaC &#43; Cloud (CSPM)、Reachability analysis">Snyk</a> 商業 SaaS</li>
</ol>
<h2 id="最短判讀路徑">最短判讀路徑</h2>
<p>判斷 Syft + Grype 配置是否健康、最少看四件事：</p>
<ul>
<li><strong>SBOM 格式跟保存</strong>：產出格式是否符合合規（多數 EO 14028 / FedRAMP 場景要 CycloneDX 或 SPDX、不是 SyftJSON）、SBOM 是否簽章（cosign attest）、是否集中保存（OCI registry 旁邊 / artifact store）、是否有 <em>baseline diff</em>（image 升級前後依賴變化）</li>
<li><strong>Grype DB 更新</strong>：DB 是否每日同步、air-gapped 場景是否 mirror 到內部 registry（Grype DB 是 OCI artifact、可 <code>oras pull</code> 鏡像）、DB version 是否進 SBOM scan record（重現性）</li>
<li><strong>Match Configuration</strong>：<code>grype.yaml</code> 的 severity gate（CI fail 條件、通常 high / critical fail）、<code>only-fixed: true</code> 是否開（只報有 patch 的 CVE）、<code>add-cpes-if-none: true</code> 對 binary-only package 行為</li>
<li><strong>Ignore Rule 治理</strong>：例外清單是否帶 <em>expiration</em>、<code>reason</code> 欄位是否填 ticket / decision 連結、quarterly review 機制、過期自動回到 fail 狀態</li>
</ul>
<p>四件事任一缺失、就是 <a href="/blog/backend/07-security-data-protection/supply-chain-integrity-and-artifact-trust/" data-link-title="7.12 供應鏈完整性與 Artifact 信任" data-link-desc="定義 build provenance、artifact 信任與交付鏈風險問題">Supply Chain Integrity</a> 邊界的待補項目。</p>
<h2 id="日常操作與決策形狀">日常操作與決策形狀</h2>
<p><strong>Syft 用法跟 Source 種類</strong>：<code>syft &lt;source&gt; -o &lt;format&gt;</code> 是核心 — source 可以是 OCI image（<code>registry/image:tag</code>）、OCI archive（<code>oci-archive:image.tar</code>）、Docker daemon（<code>docker:image:tag</code>）、目錄（<code>dir:./</code>）、單一檔案、甚至既有 SBOM（<code>sbom:./prev.cdx.json</code>、用來 <em>轉格式</em>）。format 包括 <code>cyclonedx-json</code> / <code>cyclonedx-xml</code> / <code>spdx-json</code> / <code>spdx-tag-value</code> / <code>syft-json</code> / <code>table</code>。production 通常產 <em>cyclonedx-json</em>（合規要求最常見）+ 保留 <em>syft-json</em>（Syft 自家最完整、未來 round-trip 用）。</p>
<p><strong>Package detector 廣度</strong>：Syft 自動偵測 OS package（apk / dpkg / rpm）+ 語言 dependency（npm / pip / gem / go module / cargo / maven / gradle / nuget / composer / hex / conan / swift / dart 等）+ binary analysis（Go binary 內 embedded module、Rust binary metadata、Java jar / war / ear nested）。對 <em>static binary</em> / <em>FAT image</em> 的支援是 Syft 的強項、比多數 SBOM tool 廣。但 <em>runtime-only dependency</em>（dlopen / dynamic load）SBOM 看不到、要靠 runtime workload protection（Falco / Cilium Tetragon 類工具、見 <a href="/blog/backend/07-security-data-protection/vendors/" data-link-title="資安與資料保護 Vendor 清單" data-link-desc="規劃身份、秘密、金鑰、入口防護、供應鏈與偵測工具的服務頁撰寫順序與教學大綱">7 後續候選 vendor 清單</a>）補。</p>
<p><strong>Grype 用法</strong>：<code>grype &lt;source&gt;</code> 或 <code>grype sbom:./image.cdx.json</code>。輸出 <code>table</code> / <code>json</code> / <code>cyclonedx-json</code>（CycloneDX VEX 格式）/ <code>sarif</code>（GitHub code scanning）/ <code>template</code>（Go template 自訂）。production CI 通常 <code>--output sarif</code> 上傳 GitHub code scanning + <code>--output json</code> 進內部 SIEM。<code>grype sbom:./prev.cdx.json</code> 模式是 <em>SBOM-only scan</em>、不碰 image — 適合 <em>下游團隊拿 SBOM 持續 monitor</em>、原始 image 已經 frozen 或不可達。</p>
<p><strong>Match Configuration（<code>grype.yaml</code>）</strong>：核心欄位包括 <code>fail-on-severity: high</code>（CI gate）、<code>only-fixed: true</code>（只回報有 fix 可用的 CVE、避免 noise）、<code>ignore</code> list（個別 CVE 例外）、<code>match</code> strategy（如何把 package CPE / PURL 對應到 CVE、預設策略對 90% 場景夠用、特殊 binary 場景才調）。所有設定走版控、<code>grype.yaml</code> 跟程式碼一起 review、避免 console 改。</p>
<p><strong>Ignore Rule 治理</strong>：<code>grype.yaml</code> 的 <code>ignore</code> entry 結構：<code>vulnerability</code> + <code>reason</code> + <code>expiration</code>（YYYY-MM-DD）+ optional <code>package.name</code> / <code>fix-state</code>。Anchore 設計 <em>沒有「永久 ignore」</em>、必須帶 expiration — 強制 quarterly review、避免「五年前 ignore 的 CVE 早被 fix 了還在清單裡」。reason 欄位填 ticket 編號或 ADR link、給未來的人 context。</p>
<p><strong>Cosign attest SBOM</strong>：<code>syft image:tag -o cyclonedx-json &gt; sbom.cdx.json &amp;&amp; cosign attest --predicate sbom.cdx.json --type cyclonedx --key cosign.key image:tag</code> — SBOM 被簽進 image 的 OCI signature manifest、下游 <code>cosign verify-attestation --type cyclonedx ...</code> 拿到 <em>cryptographically signed SBOM</em>。這把 SBOM 從「可被竄改的 JSON 檔」升級到 <em>trusted artifact</em>、是 <a href="https://slsa.dev/">SLSA L3+</a> provenance 的基礎。</p>
<p><strong>SLSA / SPDX 流程整合</strong>：Syft SBOM 是 build 階段產物、跟 SLSA provenance（誰 build 的、用什麼 builder、source commit 是什麼）併存、不互斥 — SBOM 答「裡面有什麼」、provenance 答「怎麼 build 的」。完整 supply chain trust 需要兩者 + cosign signature。</p>
<h2 id="核心取捨表">核心取捨表</h2>
<table>
  <thead>
      <tr>
          <th>取捨維度</th>
          <th>Syft + Grype</th>
          <th>Trivy</th>
          <th>Snyk</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>工具拆分</td>
          <td>兩個（Unix philosophy）</td>
          <td>一個（all-in-one binary）</td>
          <td>SaaS + CLI（多模組）</td>
      </tr>
      <tr>
          <td>授權</td>
          <td>OSS Apache 2.0</td>
          <td>OSS Apache 2.0</td>
          <td>商業（freemium、付費才解鎖完整）</td>
      </tr>
      <tr>
          <td>部署模型</td>
          <td>CLI、無 server</td>
          <td>CLI、無 server</td>
          <td>SaaS dashboard + CLI</td>
      </tr>
      <tr>
          <td>SBOM 格式</td>
          <td>CycloneDX 1.5+ / SPDX 2.3 / SyftJSON（reference 實作）</td>
          <td>CycloneDX / SPDX</td>
          <td>CycloneDX / SPDX（次要、scan 為主）</td>
      </tr>
      <tr>
          <td>Vuln 資料源</td>
          <td>Grype-DB（NVD + GHSA + 各 distro secdb 聚合）</td>
          <td>Trivy-DB（類似來源 + Aqua 加值）</td>
          <td>Snyk Intel（自家 research、含 reachability）</td>
      </tr>
      <tr>
          <td>額外掃描</td>
          <td>無（聚焦 SBOM + vuln）</td>
          <td>IaC / secret / license / k8s misconfig</td>
          <td>SAST / IaC / container / IaC / Open Source / Code</td>
      </tr>
      <tr>
          <td>Dashboard</td>
          <td>無（Anchore Enterprise 商業才有）</td>
          <td>無（Aqua 商業才有）</td>
          <td>內建 SaaS dashboard</td>
      </tr>
      <tr>
          <td>Air-gapped</td>
          <td>強 — Grype DB 是 OCI artifact、可 mirror</td>
          <td>強 — Trivy DB OCI artifact</td>
          <td>弱 — SaaS-only 為主（自管 server 是 Enterprise）</td>
      </tr>
      <tr>
          <td>Reachability</td>
          <td>無</td>
          <td>無</td>
          <td>有（Java / JS）</td>
      </tr>
      <tr>
          <td>Fix PR 自動化</td>
          <td>無</td>
          <td>無</td>
          <td>有（auto PR、Renovate-like）</td>
      </tr>
      <tr>
          <td>適合場景</td>
          <td>OSS 偏好、SBOM 互通流程、air-gapped、Unix tool chain</td>
          <td>OSS 偏好、單一工具想包多事、k8s misconfig 也要</td>
          <td>商業 SaaS、需 dashboard / fix workflow / reachability</td>
      </tr>
  </tbody>
</table>
<p>選 Syft + Grype 的核心訴求：<em>要正式 SBOM 作為交付 artifact</em>（合規 / 多 team handoff）+ <em>偏好 OSS Unix philosophy</em>（兩個工具各做一件事、容易整合自家 pipeline）+ 不需要 SaaS dashboard（自家 SIEM / Grafana 已經有）。需要 IaC scan 一起做、看一下 Trivy 是不是更省整合成本；需要 fix workflow 跟 reachability、商業預算足、走 Snyk。</p>
<h2 id="進階主題">進階主題</h2>
<p><strong>SBOM attestation 完整鏈</strong>：build pipeline 順序通常是 — build image → <code>syft image -o cyclonedx-json &gt; sbom.cdx.json</code> → <code>cosign sign image</code> → <code>cosign attest --predicate sbom.cdx.json --type cyclonedx image</code> → push。下游 admission controller（Kyverno / Gatekeeper / Sigstore policy-controller）<code>verify-attestation</code> 拿 trusted SBOM、再 Grype scan、policy 決定是否允許 deploy。這條鏈把 SBOM 從 <em>文件</em> 升級成 <em>deploy gate</em>。</p>
<p><strong>Grype DB air-gapped sync</strong>：Grype DB 是 OCI artifact（<code>ghcr.io/anchore/grype/listing.json</code> + <code>db.tar.gz</code>）、<code>oras pull</code> 或 <code>grype db update</code> 取得。air-gapped 場景：DMZ 跑 <code>grype db update --skip-listing-content-check</code>、把 <code>~/.cache/grype/db/</code> 整個 sync 到內部 mirror registry、內部 grype 透過 <code>GRYPE_DB_UPDATE_URL</code> 指到內部 listing。DB 版本進 scan record、確保 <em>相同 SBOM + 相同 DB = 相同結果</em>（可重現）。</p>
<p><strong>Custom matcher / Ignore Rule 細部</strong>：Grype 預設 matcher 對 90% 場景夠、但 <em>Go binary</em>、<em>static-linked binary</em>、<em>custom C++ build</em> 可能需要 <code>add-cpes-if-none: true</code> 強制配對 CPE。Ignore Rule 支援 <code>vex-status</code> 欄位（accepted / under-investigation / fixed / not-affected）對齊 CycloneDX VEX 標準、輸出 VEX-enriched SBOM 給下游 / 客戶。</p>
<p><strong>Anchore Enterprise 商業整合</strong>：OSS Syft + Grype 不夠時、Anchore Enterprise 加：policy engine（GraphQL 寫複雜 policy）、dashboard、RBAC、SLA-backed support、跟 Kubernetes admission integration、跟 Jira / ServiceNow ticket 自動建單。OSS 是 90% 場景的起點、Enterprise 解的是 <em>policy + workflow</em> 而非 <em>scan ability</em>。</p>
<p><strong>SBOM diff（baseline 比對）</strong>：<code>syft</code> 自己沒內建 diff、但 <code>cyclonedx-cli diff</code> 或自家 script 可以比對 <em>image v1 SBOM</em> vs <em>image v2 SBOM</em>、找出新增 / 移除 / 升級的 package。用途：<a href="/blog/backend/07-security-data-protection/red-team/cases/supply-chain/xz-backdoor-2024-open-source-supply-chain/" data-link-title="7.R7.2.4 XZ Backdoor 2024：開源供應鏈長期滲透" data-link-desc="開源維護鏈遭滲透後，為何會直接影響廣泛 Linux 發行流程">XZ backdoor</a> 之類「相同 version 但被植入後門」事件、單靠 SBOM 看不出來、但 <em>baseline + behavior anomaly</em> 雙軌可以提早警示。</p>
<h2 id="排錯與失敗快速判讀">排錯與失敗快速判讀</h2>
<ul>
<li><strong>Syft scan 找不到 package</strong>：image 是 <code>FROM scratch</code> 或 distroless、Syft 偵測不到 OS package metadata — 改 scan source 為 build 階段的 <code>dir:./</code> 或保留 builder image 的 SBOM</li>
<li><strong>Grype 報一堆 unfixed CVE</strong>：base image 老、有 CVE 但 upstream 還沒 patch — 設 <code>only-fixed: true</code> 過濾 noise、focus 在 actionable item；同時排程 base image 升級</li>
<li><strong>CI 突然 fail 變多</strong>：Grype DB 更新後新 CVE 揭露 — 看 DB version diff、評估是 <em>真新風險</em> 還是 <em>舊 package 被重新分類</em>、必要時用 Ignore Rule + expiration 過渡</li>
<li><strong>SBOM 格式下游不認</strong>：合規要求 SPDX、產的是 SyftJSON — 用 <code>syft convert syft-json:./sbom.json -o spdx-json</code> 轉格式（Syft 本身就是 SBOM 互轉工具）</li>
<li><strong>Air-gapped 環境 Grype 跑不動</strong>：DB 沒同步、scan 直接報 0 vulnerability（假陰性）— <code>grype db status</code> 看 DB age、mirror sync 機制檢查、加 staleness alarm</li>
<li><strong>Ignore Rule 過期回到 fail</strong>：CI 突然 fail、查 expiration 已過 — 預期行為、強制 quarterly review；補 rotation 機制（cronjob 提前一週 alert owner）</li>
<li><strong>Binary 偵測不到 module</strong>：Go binary stripped、<code>-trimpath</code> 後 module path 沒了 — build 改加 <code>-buildvcs=true</code> 保留 VCS info、或 build 階段 SBOM scan source code、不是 binary</li>
<li><strong>cosign verify-attestation 失敗</strong>：image 被 re-tag / re-push 後 attestation manifest 不對 — 用 image digest（<code>@sha256:...</code>）而非 tag 做 attest、tag 不可信</li>
<li><strong>Grype 不抓某個 ecosystem</strong>：例如新冒出的 package manager — Syft 沒實作 detector、Grype 也看不到；submit issue 或自己寫 catalogger 貢獻</li>
</ul>
<h2 id="何時改走其他服務">何時改走其他服務</h2>
<table>
  <thead>
      <tr>
          <th>需求形狀</th>
          <th>改走</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>一個工具想包 IaC / secret / k8s misconfig</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/trivy/" data-link-title="Trivy" data-link-desc="Aqua Security 開源 all-in-one scanner：Container / Filesystem / K8s / IaC &#43; Secret &#43; License &#43; SBOM、Apache 2.0、CI 友善">Trivy</a></td>
      </tr>
      <tr>
          <td>需要 SAST / Reachability / Fix PR workflow</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/snyk/" data-link-title="Snyk" data-link-desc="跨 SCM 多模組 application security platform：Open Source (SCA) &#43; Code (SAST) &#43; Container &#43; IaC &#43; Cloud (CSPM)、Reachability analysis">Snyk</a></td>
      </tr>
      <tr>
          <td>綁 GitHub 的 SAST + Dependabot</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/github-advanced-security/" data-link-title="GitHub Advanced Security" data-link-desc="GitHub 內建 4 大模組：Code Scanning (CodeQL) &#43; Secret Scanning &#43; Dependency Review &#43; Dependabot、跟 PR / Security tab 深度整合">GitHub Advanced Security</a></td>
      </tr>
      <tr>
          <td>Container runtime detection</td>
          <td>Falco / Cilium Tetragon（見 <a href="/blog/backend/07-security-data-protection/vendors/" data-link-title="資安與資料保護 Vendor 清單" data-link-desc="規劃身份、秘密、金鑰、入口防護、供應鏈與偵測工具的服務頁撰寫順序與教學大綱">7 後續候選 vendor 清單</a>）</td>
      </tr>
      <tr>
          <td>Image signing / attestation</td>
          <td><a href="https://docs.sigstore.dev/">Sigstore cosign</a></td>
      </tr>
      <tr>
          <td>Policy at admission</td>
          <td>Kyverno / OPA Gatekeeper（見 <a href="/blog/backend/07-security-data-protection/vendors/" data-link-title="資安與資料保護 Vendor 清單" data-link-desc="規劃身份、秘密、金鑰、入口防護、供應鏈與偵測工具的服務頁撰寫順序與教學大綱">7 後續候選 vendor 清單</a>）</td>
      </tr>
      <tr>
          <td>SBOM dashboard / enterprise policy / RBAC</td>
          <td>Anchore Enterprise（商業）</td>
      </tr>
  </tbody>
</table>
<h2 id="不在本頁內的主題">不在本頁內的主題</h2>
<ul>
<li>CycloneDX / SPDX 完整 schema 規格逐欄位解讀</li>
<li>Sigstore cosign / Rekor / Fulcio 完整架構（attest 鏈的 OIDC / transparency log）</li>
<li>SLSA framework 各 level 對應的 builder 要求</li>
<li>Anchore Enterprise policy DSL 完整語法</li>
<li>VEX（Vulnerability Exploitability eXchange）跟 CSAF 標準對照細節</li>
</ul>
<h2 id="案例回寫">案例回寫</h2>
<p>07 案例庫沒有直接 Syft / Grype-level 事件、但供應鏈案例都是 SBOM-first 思維的對照：</p>
<table>
  <thead>
      <tr>
          <th>案例</th>
          <th>跟 Syft + Grype 的關係</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/supply-chain/log4shell-cve-2021-44228-component-chain/" data-link-title="7.R7.2.7 Log4Shell 2021：共用元件風險與修補鏈" data-link-desc="共用元件漏洞如何同步影響多服務，並迫使團隊建立依賴治理 workflow">Log4Shell CVE-2021-44228</a></td>
          <td>對照啟示 — 預先用 Syft 產 SBOM 集中保存後、Log4Shell 公開時拿歷史 SBOM 跑 Grype 在分鐘級回答「我們哪些服務有用、含 transitive」</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/supply-chain/solarwinds-2020-sunburst/" data-link-title="7.R7.2.1 SolarWinds 2020：更新鏈被濫用" data-link-desc="合法更新流程遭植入後，攻擊者如何長期潛伏與橫向擴散">SolarWinds 2020 Sunburst</a></td>
          <td>對照啟示 — Syft 看 package layer、看不到 build-time backdoor 注入；需配 cosign attest + SLSA provenance 才完整</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/supply-chain/xz-backdoor-2024-open-source-supply-chain/" data-link-title="7.R7.2.4 XZ Backdoor 2024：開源供應鏈長期滲透" data-link-desc="開源維護鏈遭滲透後，為何會直接影響廣泛 Linux 發行流程">XZ Backdoor 2024</a></td>
          <td>對照啟示 — 相同 version 被植入後 SBOM 一樣、純比對 SBOM 看不出來；mitigation 是 SBOM diff 對 baseline + release tarball verify</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/supply-chain/kaseya-vsa-2021-msp-ransomware-chain/" data-link-title="7.R7.2.9 Kaseya VSA 2021：MSP 供應鏈擴散路徑" data-link-desc="管理平台事件透過 MSP 模型向多客戶擴散時，workflow 應如何分層應對">Kaseya VSA 2021</a></td>
          <td>對照啟示 — 多服務 SBOM 集中 inventory（哪 service 用哪 component）、緊急時可 <em>affected-services-by-package</em> 反查、不是逐 image scan</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/supply-chain-integrity-and-artifact-trust/" data-link-title="7.12 供應鏈完整性與 Artifact 信任" data-link-desc="定義 build provenance、artifact 信任與交付鏈風險問題">7.12 供應鏈完整性與 Artifact 信任</a></td>
          <td>Syft 是 SBOM reference implementation、章節原則對應 SBOM + signing + provenance 的 trust chain</td>
      </tr>
  </tbody>
</table>
<h2 id="下一步路由">下一步路由</h2>
<ul>
<li>上游：<a href="/blog/backend/07-security-data-protection/supply-chain-integrity-and-artifact-trust/" data-link-title="7.12 供應鏈完整性與 Artifact 信任" data-link-desc="定義 build provenance、artifact 信任與交付鏈風險問題">7.12 供應鏈完整性與 Artifact 信任</a></li>
<li>平行：<a href="/blog/backend/07-security-data-protection/vendors/trivy/" data-link-title="Trivy" data-link-desc="Aqua Security 開源 all-in-one scanner：Container / Filesystem / K8s / IaC &#43; Secret &#43; License &#43; SBOM、Apache 2.0、CI 友善">Trivy</a>（一站式替代）、<a href="/blog/backend/07-security-data-protection/vendors/snyk/" data-link-title="Snyk" data-link-desc="跨 SCM 多模組 application security platform：Open Source (SCA) &#43; Code (SAST) &#43; Container &#43; IaC &#43; Cloud (CSPM)、Reachability analysis">Snyk</a>（商業 SaaS）、<a href="/blog/backend/07-security-data-protection/vendors/github-advanced-security/" data-link-title="GitHub Advanced Security" data-link-desc="GitHub 內建 4 大模組：Code Scanning (CodeQL) &#43; Secret Scanning &#43; Dependency Review &#43; Dependabot、跟 PR / Security tab 深度整合">GitHub Advanced Security</a>（GitHub 內建）</li>
<li>下游：<a href="https://docs.sigstore.dev/">Sigstore cosign</a>（SBOM attestation）、admission policy（Kyverno / OPA Gatekeeper、見 <a href="/blog/backend/07-security-data-protection/vendors/" data-link-title="資安與資料保護 Vendor 清單" data-link-desc="規劃身份、秘密、金鑰、入口防護、供應鏈與偵測工具的服務頁撰寫順序與教學大綱">7 後續候選 vendor 清單</a>）</li>
<li>跨類：runtime workload protection（Falco / Cilium Tetragon、見 <a href="/blog/backend/07-security-data-protection/vendors/" data-link-title="資安與資料保護 Vendor 清單" data-link-desc="規劃身份、秘密、金鑰、入口防護、供應鏈與偵測工具的服務頁撰寫順序與教學大綱">7 後續候選 vendor 清單</a>）、<a href="/blog/backend/07-security-data-protection/vendors/hashicorp-vault/" data-link-title="HashiCorp Vault" data-link-desc="Self-hosted secret management 與 dynamic credential / encryption-as-a-service / PKI engine、跨雲跨環境的 secret 控制面">HashiCorp Vault</a>（cosign signing key 保存）</li>
<li>跨模組：<a href="/blog/backend/08-incident-response/vendors/" data-link-title="事故處理 Vendor 清單" data-link-desc="規劃 on-call、incident response、status page 與 postmortem 工具的服務頁撰寫順序與判準">8 事故處理 vendor 清單</a>（新 CVE 揭露時的 SBOM-based fan-out 查詢）</li>
<li>官方：<a href="https://github.com/anchore/syft">Syft Documentation</a> / <a href="https://github.com/anchore/grype">Grype Documentation</a></li>
</ul>
]]></content:encoded></item></channel></rss>