容器镜像安全漏洞扫描工具Trivy

概述

最近做镜像分析扫描工作，需要扫描镜像的安全漏洞，评估镜像安全性，调研了几款漏洞扫描工具，最后决定使用Trivy 工具，Trivy是一家以色列安全公司开源的一个漏洞扫描工具，支持容器镜像、虚机镜像、文件系统的安全扫描。
官网地址： https://aquasecurity.github.io/trivy/v0.42/
github地址： https://github.com/aquasecurity/trivy

安装

可以通过添加软件源的方式，也可以在github的发布页下载安装包，下面展示软件源方式安装。

RHEL/CentOS

通过新增yum仓库源的方式安装

RELEASE_VERSION=$(grep -Po '(?<=VERSION_ID=")[0-9]' /etc/os-release)
cat << EOF | sudo tee -a /etc/yum.repos.d/trivy.repo
[trivy]
name=Trivy repository
baseurl=https://aquasecurity.github.io/trivy-repo/rpm/releases/$RELEASE_VERSION/\$basearch/
gpgcheck=1
enabled=1
gpgkey=https://aquasecurity.github.io/trivy-repo/rpm/public.key
EOF
sudo yum -y update
sudo yum -y install trivy

Debian/Ubuntu

添加apt软件源

sudo apt-get install wget apt-transport-https gnupg lsb-release
wget -qO - https://aquasecurity.github.io/trivy-repo/deb/public.key | gpg --dearmor | sudo tee /usr/share/keyrings/trivy.gpg > /dev/null
echo "deb [signed-by=/usr/share/keyrings/trivy.gpg] https://aquasecurity.github.io/trivy-repo/deb $(lsb_release -sc) main" | sudo tee -a /etc/apt/sources.list.d/trivy.list
sudo apt-get update
sudo apt-get install trivy

MacOS

brew install trivy

使用

安装完成后直接输入 trivy 命令就可以使用了
例如，扫描nginx镜像的安全漏洞，默认扫描所有的级别的漏洞

trivy image  nginx

也可以只扫描高危漏洞

trivy image  --severity CRITICAL  nginx

输出如下，可以看到存在的高危漏洞，和漏洞说明的URL