Trivy 是一个面向镜像的漏洞检测工具,具备如下特点:
开源
免费
易用
准确度高
CI 友好
相对于老前辈 Clair,Trivy 的使用非常直观方便,适用于更多的场景。
下面是官方出具的对比表格:
安装
MacOS
$ brew tap knqyf263/trivy$ brew install knqyf263/trivy/trivy
RHEL/CentOS
$ sudo vim /etc/yum.repos.d/trivy.repo[trivy]name=Trivy repositorybaseurl=https://knqyf263.github.io/trivy-repo/rpm/releases/$releasever/$basearch/gpgcheck=0enabled=1$ sudo yum -y update$ sudo yum -y install trivy
使用
这个工具的最大闪光点就是提供了很多适合用在自动化场景的用法。
扫描镜像:
trivy centos
扫描镜像文件
$ docker save ruby:2.3.0-alpine3.9 -o ruby-2.3.0.tar$ trivy --input ruby-2.3.0.tar
根据严重程度进行过滤
trivy --severity HIGH,CRITICAL ruby:2.3.0
忽略未修复问题
trivy --ignore-unfixed ruby:2.3.0
忽略特定问题
使用 .trivyignore:
cat .trivyignore# Accept the riskCVE-2018-14618# No impact in our settingsCVE-2019-1543$ trivy python:3.4-alpine3.9
使用 JSON 输出结果
trivy -f json dustise/translat-chatbot:20190428-5
定义返回值
trivy --exit-code 0 --severity MEDIUM,HIGH ruby:2.3.0$ trivy --exit-code 1 --severity CRITICAL ruby:2.3.0
总结
相对于其它同类工具,Trivy 非常适合自动化操作,从 CircleCI 之类的公有服务,到企业内部使用的 Jenkins、Gitlab 等私有工具,或者作为开发运维人员的自测环节,都有 Trivy 的用武之地。
原文始发于微信公众号(菜鸟小新):全面易用的镜像漏洞检测工具:Trivy
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论