本文章或工具仅供安全研究使用，请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任

Trivy是由aquasecurity开发的一个简单而全面的漏洞/错误配置扫描器，主要用于容器和K8s环境。其核心功能包括检测操作系统包（如Alpine、RHEL、CentOS等）和特定语言包（如Bundler、Composer、npm、yarn等）的漏洞，以及扫描基础设施即代码（IaC）文件（如Terraform和Kubernetes）以检测潜在配置问题。

Trivy的特点包括全面、简单、快速和高精确度。它支持多种漏洞数据库，可以根据用户的需求进行配置，同时也支持CI/CD集成，可以在构建过程中自动扫描镜像并生成报告。此外，Trivy还支持自定义规则，用户可以根据自己的需求来定义扫描规则安装Trivy：Trivy的安装过程相对简单，可以通过多种方式进行安装，例如使用apt-get install、yum install或brew install命令。在安装过程中，通常不需要安装额外的数据库或库作为先决条件，这大大简化了安装流程。

扫描容器镜像：
安装完成后，您可以使用Trivy来扫描容器镜像。只需指定容器的镜像名称，Trivy就可以开始扫描。例如，使用命令trivy image <镜像名称>即可启动扫描。扫描过程通常非常快速，理想情况下可以在几十秒内完成。使用规则文件：
Trivy支持通过命令行参数指定要使用的规则文件。这允许用户根据自己的需求定制扫描规则。例如，您可以使用--severity参数来指定要扫描的漏洞的危害级别，--ignore-unfixed参数来忽略未修复的漏洞，以及--format参数来指定输出的格式。

集成与部署：
Trivy可以与Docker和Kubernetes集成，帮助用户在构建和部署容器镜像时发现安全漏洞。此外，它还支持CI/CD集成，可以在构建过程中自动扫描镜像并生成报告。对于与Harbor的集成，需要使用Harbor Scanner Adapter for Trivy，通过配置Scanner Adapter将Trivy与Harbor集成，实现镜像的自动扫描和漏洞报告生成。规则更新与维护：
Trivy规则的漏洞数据库会定期更新，以确保用户能够及时发现最新的漏洞和安全风险。用户无需进行额外的维护或准备工作，因为Trivy是无状态的。

查看报告与结果：
扫描完成后，Trivy会生成详细的漏洞报告，包括漏洞的描述、影响、利用难度以及建议的修复方法等。用户可以根据报告中的信息来评估系统的安全性，并采取相应的措施来修复漏洞。
请注意，使用Trivy进行漏洞扫描时，应确保遵守相关法律法规和道德标准，不得未经授权擅自对他人系统进行扫描。同时，建议定期更新Trivy以获取最新的功能和漏洞数据库，以确保扫描的准确性和有效性。

地址

https://github.com/aquasecurity/trivy

原文始发于微信公众号（渗透测试 网络安全技术学习）：一款可自行配置的漏洞扫描器