容器镜像安全漏洞扫描工具Trivy

概述

最近做镜像分析扫描工作,需要扫描镜像的安全漏洞,评估镜像安全性,调研了几款漏洞扫描工具,最后决定使用Trivy 工具,Trivy是一家以色列安全公司开源的一个漏洞扫描工具,支持容器镜像、虚机镜像、文件系统的安全扫描。
官网地址: https://aquasecurity.github.io/trivy/v0.42/
github地址: https://github.com/aquasecurity/trivy

安装

可以通过添加软件源的方式,也可以在github的发布页下载安装包,下面展示软件源方式安装。

RHEL/CentOS

通过新增yum仓库源的方式安装


RELEASE_VERSION=$(grep -Po '(?<=VERSION_ID=")[0-9]' /etc/os-release)
cat << EOF | sudo tee -a /etc/yum.repos.d/trivy.repo
[trivy]
name=Trivy repository
baseurl=https://aquasecurity.github.io/trivy-repo/rpm/releases/$RELEASE_VERSION/\$basearch/
gpgcheck=1
enabled=1
gpgkey=https://aquasecurity.github.io/trivy-repo/rpm/public.key
EOF
sudo yum -y update
sudo yum -y install trivy

Debian/Ubuntu

添加apt软件源

sudo apt-get install wget apt-transport-https gnupg lsb-release
wget -qO - https://aquasecurity.github.io/trivy-repo/deb/public.key | gpg --dearmor | sudo tee /usr/share/keyrings/trivy.gpg > /dev/null
echo "deb [signed-by=/usr/share/keyrings/trivy.gpg] https://aquasecurity.github.io/trivy-repo/deb $(lsb_release -sc) main" | sudo tee -a /etc/apt/sources.list.d/trivy.list
sudo apt-get update
sudo apt-get install trivy

MacOS

brew install trivy

使用

安装完成后直接输入 trivy 命令就可以使用了
例如,扫描nginx镜像的安全漏洞,默认扫描所有的级别的漏洞

trivy image  nginx

也可以只扫描高危漏洞

trivy image  --severity CRITICAL  nginx

输出如下,可以看到存在的高危漏洞,和漏洞说明的URL
容器镜像安全漏洞扫描工具Trivy_第1张图片

你可能感兴趣的:(k8s,云原生,kubernetes,镜像安全,docker,trivy)