【云原生-K8s】镜像漏洞安全扫描工具Trivy部署及使用

基础介绍

基础描述

  • Trivy是一个开源的容器镜像漏洞扫描器,可以扫描常见的操作系统和应用程序依赖项的漏洞。它可以与Docker和Kubernetes集成,帮助用户在构建和部署容器镜像时发现安全漏洞。Trivy支持多种漏洞数据库,包括Red Hat、Debian、Alpine等,可以根据用户的需求进行配置。Trivy还支持CI/CD集成,可以在构建过程中自动扫描镜像并生成报告。与Harbor集成需要使用Harbor Scanner Adapter for Trivy,可以通过配置Scanner Adapter将Trivy与Harbor集成,实现镜像的自动扫描和漏洞报告生成。

Trivy特点

  • 全面的漏洞检测:涵盖操作系统包、操作系统包、开发语言、错误配置、策略等内容。

  • 简单:仅指定镜像名称、包含IaC配置的目录或工件名称。

  • 快速:理想情况下可以在几十秒内完成扫描动作。

  • 易于安装:是一个简易的执行工具,可以通过apt-get install、yum install、brew install等方式安装,没有前置条件,如安装DB的,依赖库等。

  • 高精确度:特别是Alpine Linux和RHEL/CentOS,其他操作系统也高。

  • trivy官网https://aquasecurity.github.io/trivy/v0.47/

  • 开源地址https://github.com/aquasecurity/trivy

部署

  • trivy的安装方式比较多,rpm的形式安装,apt的形式安装,helm形式的直接集成到kubernetes内,也可以直接docker run 镜像的方式部署。

在线下载

bash 复制代码
wget https://github.com/aquasecurity/trivy/releases/download/v0.47.0/trivy_0.47.0_Linux-64bit.tar.gz

百度网盘下载

链接:https://pan.baidu.com/s/1SkBXkcx-UAMy8U5a5jxguQ?pwd=qhxy

提取码:qhxy

--来自百度网盘超级会员V7的分享

安装

  • 解压
bash 复制代码
tar -zxf trivy_0.47.0_Linux-64bit.tar.gz
  • 移入二进制目录
bash 复制代码
mv trivy /usr/bin/
  • 查看帮助信息
bash 复制代码
trivy --help

使用

扫描nginx镜像

bash 复制代码
trivy image nginx
  • 第一次会去远程下载安全漏洞加密数据库,下载完成后和本地镜像进行对比,输出结果
  • 数据库缓存目录
bash 复制代码
/root/.cache/trivy
  • 根据不同的镜像类型下载不同的安全漏洞库

扫描结果解析

  • 打印nginx高危安全漏洞
bash 复制代码
trivy image -s HIGH nginx
  • 着重关注最后一列 Title,点击链接信息,查看漏洞详情
  • 如 安全漏洞 CVE-2022-22576 详细描述信息

json格式输出

bash 复制代码
trivy image -s HIGH nginx -f json -o ng-trivy.json
  • 基于JSON格式,后续可进行可视化展示。

总结

Trivy是一款专门为云原生环境设计的开源漏洞扫描工具,它具有简单、全面、快速和易于安装的特点。通过检测操作系统包、开发语言包、错误配置和策略等问题,Trivy可以帮助团队在构建过程中发现并解决潜在的安全风险。Trivy适用于容器和Kubernetes环境,可以扫描基础设施即代码 (IaC) 文件以检测配置问题。Trivy的高精确度使其成为许多开发团队的可靠选择。总体而言,Trivy是一个功能强大的开源漏洞扫描器,有助于增强云原生环境的安全性。

相关推荐
wanhengidc10 小时前
服务器硬盘的作用都有哪些?
运维·服务器·安全·智能手机·云计算
阿里云云原生10 小时前
为什么别人用 DevPod 秒启 DeepSeek-OCR,你还在装环境?
云原生
一生要强的ymy11 小时前
Polarctf 写shell
安全·web安全·网络安全·系统安全·安全威胁分析
Gss77711 小时前
Kubernetes 实战入门核心内容总结
容器·kubernetes
字节跳动安全中心11 小时前
开源!可信MCP,AICC机密计算新升级!
安全·llm·mcp
不是笨小孩i11 小时前
从局域网工具到全球传输:FastSend的无服务器共享革命
云原生·serverless
今日说"法"11 小时前
Rust 代码审查清单:从安全到性能的关键校验
开发语言·安全·rust
金仓拾光集12 小时前
「安全升级 + 零代码平替」金仓数据库如何实现MongoDB社交动态发布系统的无缝迁移?
数据库·安全·mongodb·kingbase·kingbasees·数据库平替用金仓·金仓数据库
阿里云云原生12 小时前
清理祖传 AK 不怕炸锅:基于 UModel 的云监控 2.0 身份凭证观测实践
云原生
不爱笑的良田13 小时前
从零开始的云原生之旅(二):第一次部署到 K8s
云原生·容器·kubernetes