Trivy
https://github.com/aquasecurity/trivy
SBOMまわりは
CycloneDX
と
SPDX
に丸投げしている
脆弱性データベースはこっち
aquasecurity/trivy-db
https://github.com/aquasecurity/trivy-db/tree/main/pkg/vulnsrc
なんか各データベースをurl叩いて見に行ってる感じ?