【云原生-K8s】镜像漏洞安全扫描工具Trivy部署及使用

基础介绍

基础描述

  • Trivy是一个开源的容器镜像漏洞扫描器,可以扫描常见的操作系统和应用程序依赖项的漏洞。它可以与Docker和Kubernetes集成,帮助用户在构建和部署容器镜像时发现安全漏洞。Trivy支持多种漏洞数据库,包括Red Hat、Debian、Alpine等,可以根据用户的需求进行配置。Trivy还支持CI/CD集成,可以在构建过程中自动扫描镜像并生成报告。与Harbor集成需要使用Harbor Scanner Adapter for Trivy,可以通过配置Scanner Adapter将Trivy与Harbor集成,实现镜像的自动扫描和漏洞报告生成。

Trivy特点

  • 全面的漏洞检测:涵盖操作系统包、操作系统包、开发语言、错误配置、策略等内容。

  • 简单:仅指定镜像名称、包含IaC配置的目录或工件名称。

  • 快速:理想情况下可以在几十秒内完成扫描动作。

  • 易于安装:是一个简易的执行工具,可以通过apt-get install、yum install、brew install等方式安装,没有前置条件,如安装DB的,依赖库等。

  • 高精确度:特别是Alpine Linux和RHEL/CentOS,其他操作系统也高。

  • trivy官网https://aquasecurity.github.io/trivy/v0.47/

  • 开源地址https://github.com/aquasecurity/trivy

部署

  • trivy的安装方式比较多,rpm的形式安装,apt的形式安装,helm形式的直接集成到kubernetes内,也可以直接docker run 镜像的方式部署。

在线下载

bash 复制代码
wget https://github.com/aquasecurity/trivy/releases/download/v0.47.0/trivy_0.47.0_Linux-64bit.tar.gz

百度网盘下载

链接:https://pan.baidu.com/s/1SkBXkcx-UAMy8U5a5jxguQ?pwd=qhxy

提取码:qhxy

--来自百度网盘超级会员V7的分享

安装

  • 解压
bash 复制代码
tar -zxf trivy_0.47.0_Linux-64bit.tar.gz
  • 移入二进制目录
bash 复制代码
mv trivy /usr/bin/
  • 查看帮助信息
bash 复制代码
trivy --help

使用

扫描nginx镜像

bash 复制代码
trivy image nginx
  • 第一次会去远程下载安全漏洞加密数据库,下载完成后和本地镜像进行对比,输出结果
  • 数据库缓存目录
bash 复制代码
/root/.cache/trivy
  • 根据不同的镜像类型下载不同的安全漏洞库

扫描结果解析

  • 打印nginx高危安全漏洞
bash 复制代码
trivy image -s HIGH nginx
  • 着重关注最后一列 Title,点击链接信息,查看漏洞详情
  • 如 安全漏洞 CVE-2022-22576 详细描述信息

json格式输出

bash 复制代码
trivy image -s HIGH nginx -f json -o ng-trivy.json
  • 基于JSON格式,后续可进行可视化展示。

总结

Trivy是一款专门为云原生环境设计的开源漏洞扫描工具,它具有简单、全面、快速和易于安装的特点。通过检测操作系统包、开发语言包、错误配置和策略等问题,Trivy可以帮助团队在构建过程中发现并解决潜在的安全风险。Trivy适用于容器和Kubernetes环境,可以扫描基础设施即代码 (IaC) 文件以检测配置问题。Trivy的高精确度使其成为许多开发团队的可靠选择。总体而言,Trivy是一个功能强大的开源漏洞扫描器,有助于增强云原生环境的安全性。

相关推荐
xixingzhe23 小时前
SpringBoot + Nginx 免鉴权接口安全防护方案
运维·nginx·安全
中科岩创3 小时前
宁波某大学高支模施工安全监测实训模型应用
科技·物联网·安全·自动化
项目经理老王4 小时前
OpenClaw无捆绑安装包,安全纯净版AI助手部署
人工智能·安全
阿里云云原生8 小时前
不改代码也能监控 AI Agent?揭秘 OBI 如何在内核层精准解析 GenAI 语义流量
云原生·agent
众人皆醒我独醉8 小时前
Pod 一直 Terminating,死活删不掉?三个凶手,每一个你都意想不到
面试·kubernetes
飞翔沫沫情10 小时前
K8s Alloy 采集 Pod 控制台日志
云原生·容器·kubernetes
小李@Free2FA10 小时前
跨境卖家多平台二次验证统一管理
安全·外贸·2fa·二次验证
云祺vinchin11 小时前
混合云异构环境下的灾备实战:VMware+Hyper-V统一保护方案解析
安全·容灾备份·容灾备份体系
MartinYeung512 小时前
从注入攻击到诈骗:@martin_yeung/llm-up-guardrail 提供生产级 AI 安全防护
人工智能·安全
anbingsoft1213 小时前
企业加密软件软件有哪些?企业加密软件:让设计图纸安全无忧,年度热销
网络·安全·电脑