前提

CodeBuildのオペレーティングシステムはUbuntuを想定して記載します。
ソースコードはGitHubと連携やCodePipelineから渡すなどしてCodeBuild上で使用できるようにします。
Dockerイメージを作成するので、環境で特権付与のチェックをONにしてください。
その他環境変数などは各自の環境に合わせて設定してください。

インストール

CodeBuild上でもTrivyをインストールして動作させることができます。
Buildspecのinstallフェーズで以下コマンドを使用してインストールします。

install:
  - apt-get install wget apt-transport-https gnupg
  - wget -qO - https://aquasecurity.github.io/trivy-repo/deb/public.key | apt-key add -
  - echo deb https://aquasecurity.github.io/trivy-repo/deb bionic main | tee -a /etc/apt/sources.list.d/trivy.list
  - apt-get update
  - apt-get install -y trivy

スキャン対象イメージの作成

スキャン対象のイメージを作成するため、Buildspecのbuildフェーズでdocker buildを行います。

build:
  commands:
    - docker build -t <imagename>:<tagname>

Trivyのスキャン実行

Trivyでスキャンを行い、結果をhtmlで出力します。
リファレンスには詳細な説明はなく以下のコマンドだけ書かれています。

$ trivy image --format template --template "@contrib/html.tpl" -o report.html golang:1.12-alpine

Report Formats - Trivy

html.tplというファイルはテンプレートファイルで、Trivyをインストールしていれば組み込まれています。
formatオプションに"template"を指定して、template オプションにパス指定することで、任意のテンプレートを使用して結果出力することができます。

CodeBuild上の環境で、サンプルのままだとテンプレートをうまく読み込んでくれません。
CodeBuild実行環境のどこにhtml.tplが展開されているか探して、そのパスを指定してあげる必要があります。
ちゃんとしたパス指定をしたBuildspecは以下のようになります。
スキャン対象を作成した後に実行するのでpost_buildフェーズに記載します。

post_build:
  commands:
    - trivy image --format template --template '@/user/local/share/trivy/templates/html.tpl' -o report.html <imagename>:<tagname>

結果ファイルの出力先はoオプションで指定できるので、できたファイルをs3に格納するなどして使用してください。