SCAツール比較

2026-07-10 22:23 UTC 時点の情報

概要版

ツール 最新版 更新日 種別 ライセンス 費用 コンテナ 言語/ライブラリ SBOM ポリシー 集中管理
FutureVuls
機能一覧 ↗
2026-06 [Hotfix] 2026-06-01 SaaS Proprietary Paid
Yamory
機能一覧 ↗
2026-06-25 2026-06-25 SaaS Proprietary Paid
Trivy
機能一覧 ↗
v0.72.0 2026-06-30 OSS Apache-2.0 Free
Grype
機能一覧 ↗
v0.115.0 2026-06-26 OSS Apache-2.0 Free
OSV-Scanner
機能一覧 ↗
v2.4.0 2026-06-18 OSS Apache-2.0 Free
Syft
機能一覧 ↗
v1.46.0 2026-06-26 OSS Apache-2.0 Free
Vuls
機能一覧 ↗
v0.39.3 2026-06-09 OSS GPL-3.0 Free
Clair
機能一覧 ↗
v4.9.0 2025-12-10 OSS Apache-2.0 Free
Dependency-Check
機能一覧 ↗
v12.1.0 2025-02-17 OSS Apache-2.0 Free

詳細版

ツール コンテナ 言語/ライブラリ SBOM ポリシー IaC シークレット検出 ライセンス ビルドプラグイン APIサーバー SSH無エージェント ダッシュボード 集中管理 独自機能
Trivy
機能一覧 ↗
• IaCスキャン(Terraform・Kubernetes・Helm・Dockerfile対応)
• シークレット・認証情報の検出
• ライセンスコンプライアンススキャン
• 複数の出力形式に対応(SARIF・SBOM・テーブル・JSON等)
FutureVuls
機能一覧 ↗
• 脆弱性トリアージと対応管理のためのチケット管理機能
• ロールベースアクセス制御によるチーム管理
• SLAトラッキングとコンプライアンスレポート
• OSS Vulsエンジンをベースに構築されたクラウドSaaS
• OSSライセンス検出とGPL系ライセンス違反警告
Yamory
機能一覧 ↗
• OSSライセンス管理とコンプライアンス対応
• 脆弱性の優先度付けサポート
• CI/CDパイプライン連携
• 日本語ファーストのサポートとUI
Syft
機能一覧 ↗
• 複数のSBOM形式で出力(SPDX・CycloneDX・Syft JSON・GitHub SBOM)
• SBOM生成に特化—脆弱性スキャン機能はビルトインでない
• Grypeと組み合わせることで完全なスキャンパイプラインを構成可能
Grype
機能一覧 ↗
• SBOMファイル(SPDX・CycloneDX・Syft JSON)を直接スキャン入力として受付可能
• Syftとの密連携によるSBOM駆動の脆弱性パイプラインをサポート
• VEX(Vulnerability Exploitability eXchange)による脆弱性フィルタリングに対応
OSV-Scanner
機能一覧 ↗
• Google管理のOSV(Open Source Vulnerabilities)データベースを使用(コミュニティメンテナンス)
• ロックファイルベーススキャンによる正確な依存解決
• Gitコミット履歴スキャンによる脆弱性混入履歴の確認
• 到達可能性分析(実験的機能)
Vuls
機能一覧 ↗
• SSHベースのエージェントレスLinuxサーバースキャン
• NVD・JVN・OVALの複数脆弱性DBに対応
• Slack・メール通知機能をサポート
• スキャン結果をローカルに保存し差分管理が可能
Clair
機能一覧 ↗
• コンテナレジストリへの統合を目的としたAPIサーバー設計
• Quay.ioのコアスキャナーとして採用
• ClairCoreによるモジュラーなマッチャーアーキテクチャ
• 複数のLinuxディストリビューションに対応(RHEL・Debian・Ubuntu・Alpine等)
Dependency-Check
機能一覧 ↗
• Maven・Gradle・Antのビルドツールプラグインを提供
• Jenkinsプラグインを提供
• CPEベースのNVDマッチング
• HTML・XML・JSON・CSV形式のレポート生成