容器漏洞扫描器:Trivy

admin 2025年2月14日16:48:54评论35 views字数 1901阅读6分20秒阅读模式

目录

  • 介绍
  • 安装
  • 扫描 Git 存储库
  • 扫描容器镜像
  • 扫描文件系统
  • 扫描正在运行的容器
  • 在 Dockerfile 中嵌入 Trivy

介绍

Trivy 是aqua security开发的一款开源工具,用于扫描漏洞和配置错误。该工具可在多个层面发挥作用:它可以评估基础设施即代码、检查容器镜像、提供配置文件帮助、分析 Kubernetes 实现以及审查 Git 存储库中的代码。由于易于使用,只需安装并将二进制文件添加到项目中,即可轻松将其集成到 CI/CD 管道 (DevSecOps) 中。Trivy 提供跨编程语言和操作系统包的完整可见性,并拥有广泛的漏洞数据库,可快速扫描关键 CVE。该工具的各种新进展帮助渗透测试人员和网络安全研究人员确保持续扫描,从而使 DevSecOps 流程更快、更高效。

安装

安装非常简单。按照下面给出的命令从你的 ubuntu 机器上的官方存储库安装 Trivy。

sudo apt-get install wget apt-transport-https gnupg lsb-releasewget -qO - https://aquasecurity.github.io/trivy-repo/deb/public.key | sudo apt-key add -echo deb https://aquasecurity.github.io/trivy-repo/deb $(lsb_release -sc) main | sudo tee /etc/apt/sources.list.d/trivy.list
容器漏洞扫描器:Trivy
sudo apt-get 更新sudo apt-get 安装 trivy
安装并更新该工具后,您就可以扫描文件了。
容器漏洞扫描器:Trivy

扫描 Git 存储库

正如我上面所描述的,我们可以使用 trivy 来扫描多个平台之间的安全漏洞。

 如果您正在使用 Git 存储库,则可以直接扫描 git 文件而无需下载整个包。

sudo trivy repo https://github.com/appsecco/dvna
容器漏洞扫描器:Trivy

扫描容器镜像

随着对 Docker 安全的威胁日益增加,Trivy 是市场上用于扫描容器镜像的最佳工具之一。 

您可以按照以下步骤轻松地对 docker 镜像进行快速扫描以报告任何漏洞。

步骤1:检查需要扫描的容器镜像的镜像ID。

sudo docker images
步骤2:使用下面给出的命令扫描容器镜像。
sudo trivy image 4621d4fe2959
容器漏洞扫描器:Trivy
您还可以扫描图像以查找特定严重程度的漏洞,并使用以下命令以文本格式保存报告。
sudo trivy image --severity HIGH 4621d4fe2959 > result.txttail result.txt
容器漏洞扫描器:Trivy

扫描文件系统

Trivy 可用于扫描文件系统(例如主机、虚拟机映像或解压的容器映像文件系统)。

(注意:我们在此实际使用文件系统中的易受攻击的节点。)

使用下面给出的命令扫描任何文件系统是否存在漏洞。

trivy conf services/
容器漏洞扫描器:Trivy

扫描正在运行的容器

您可以从内部快速扫描正在运行的容器。按照以下步骤扫描 docker 文件。

步骤1:运行要扫描的docker文件。

sudo docker run -it alpine
步骤2:将Trivy扫描器添加到文件并运行它。
apk add curl && curl -sfL https://raw.githubusercontent.com/aquasecurity/trivy/main/contrib/install.sh | sh -s -- -b /usr/local/bin     && trivy filesystem --exit-code 1 --no-progress /
容器漏洞扫描器:Trivy

在 Dockerfile 中嵌入 Trivy

您还可以通过将 Trivy 嵌入 Dockerfile 中来扫描镜像作为构建过程的一部分。此方法可用于更新当前使用 Aqua 的 Micro 扫描仪的 Dockerfile。按照以下步骤在构建 docker 文件时对其进行扫描。

步骤1:将trivy添加到docker文件中。

FROM alpine:3.7 RUN apk add curl     && curl -sfL https://raw.githubusercontent.com/aquasecurity/trivy/master/contrib/install.sh | sh -s -- -b /usr/local/bin     && trivy filesystem --exit-code 1 --no-progress /
步骤2:构建图像。
sudo docker build -t vulnerable image .
容器漏洞扫描器:Trivy
它将在构建镜像时扫描docker文件并给出如下所示的报告。
容器漏洞扫描器:Trivy

原文始发于微信公众号(三沐数安):今日推荐容器漏洞扫描器:Trivy

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月14日16:48:54
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   容器漏洞扫描器:Trivyhttps://cn-sec.com/archives/3741049.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息