全面易用的镜像漏洞检测工具:Trivy

admin
admin
admin
102322
文章
87
评论
2023年5月31日00:16:14评论28 views字数 1025阅读3分25秒阅读模式

Trivy 是一个面向镜像的漏洞检测工具,具备如下特点:

开源

免费

易用

准确度高

CI 友好

相对于老前辈 Clair,Trivy 的使用非常直观方便,适用于更多的场景。

下面是官方出具的对比表格:

全面易用的镜像漏洞检测工具:Trivy

安装

MacOS

$ brew tap knqyf263/trivy$ brew install knqyf263/trivy/trivy

RHEL/CentOS

$ sudo vim /etc/yum.repos.d/trivy.repo[trivy]name=Trivy repositorybaseurl=https://knqyf263.github.io/trivy-repo/rpm/releases/$releasever/$basearch/gpgcheck=0enabled=1$ sudo yum -y update$ sudo yum -y install trivy

使用

这个工具的最大闪光点就是提供了很多适合用在自动化场景的用法。

扫描镜像:

$ trivy centos

扫描镜像文件

$ docker save ruby:2.3.0-alpine3.9 -o ruby-2.3.0.tar$ trivy --input ruby-2.3.0.tar

根据严重程度进行过滤

$ trivy --severity HIGH,CRITICAL ruby:2.3.0

忽略未修复问题

$ trivy --ignore-unfixed ruby:2.3.0

忽略特定问题

使用 .trivyignore:

$ cat .trivyignore# Accept the riskCVE-2018-14618# No impact in our settingsCVE-2019-1543$ trivy python:3.4-alpine3.9

使用 JSON 输出结果

$ trivy -f json dustise/translat-chatbot:20190428-5

定义返回值

$ trivy --exit-code 0 --severity MEDIUM,HIGH ruby:2.3.0$ trivy --exit-code 1 --severity CRITICAL ruby:2.3.0

总结

相对于其它同类工具,Trivy 非常适合自动化操作,从 CircleCI 之类的公有服务,到企业内部使用的 Jenkins、Gitlab 等私有工具,或者作为开发运维人员的自测环节,都有 Trivy 的用武之地。


原文始发于微信公众号(菜鸟小新):全面易用的镜像漏洞检测工具:Trivy

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年5月31日00:16:14
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   全面易用的镜像漏洞检测工具:Trivyhttps://cn-sec.com/archives/1762142.html

发表评论

匿名网友 填写信息