Jenkins集成Trivy安全漏洞检查指南

demonlg01122025-03-25 9:57

要将Jenkins与Trivy集成以实现制品的安全漏洞检查,可以按照以下步骤操作:

安装Trivy

在Jenkins服务器或构建节点上安装Trivy
bash 复制代码 
# 使用包管理器(如Debian/Ubuntu)
sudo apt-get install -y wget apt-transport-https gnupg lsb-release
wget -qO - https://aquasecurity.github.io/trivy-repo/deb/public.key | sudo apt-key add -
echo deb https://aquasecurity.github.io/trivy-repo/deb $(lsb_release -sc) main | sudo tee -a /etc/apt/sources.list.d/trivy.list
sudo apt-get update
sudo apt-get install -y trivy

# 或直接下载二进制文件(通用方式)
wget https://github.com/aquasecurity/trivy/releases/download/v0.50.1/trivy_0.50.1_Linux-64bit.tar.gz
tar -zxvf trivy_0.50.1_Linux-64bit.tar.gz
sudo mv trivy /usr/local/bin/

配置Jenkins Pipeline

Jenkinsfile中添加Trivy扫描步骤
groovy 复制代码 
pipeline {
    agent any

    stages {
        stage('Build') {
            steps {
                // 构建镜像(示例为Docker镜像)
                sh 'docker build -t my-app:latest .'
            }
        }

        stage('Security Scan') {
            steps {
                // 使用Trivy扫描镜像
                sh 'trivy image --exit-code 1 --severity CRITICAL,HIGH my-app:latest'

                // 可选:生成报告并保存
                sh 'trivy image --format template --template "@contrib/html.tpl" -o trivy_report.html my-app:latest'
                archiveArtifacts artifacts: 'trivy_report.html'
            }
        }
    }

    post {
        failure {
            // 如果Trivy发现漏洞导致失败,发送通知
            emailext subject: 'Security Scan Failed',
                      body: '发现高危漏洞,请检查构建日志和报告。',
                      to: 'team@example.com'
        }
    }
}

关键参数说明

  • --exit-code 1:发现漏洞时返回非零退出码,使Jenkins步骤失败。
  • --severity CRITICAL,HIGH:仅检查高危漏洞(按需调整)。
  • --format template --template "@contrib/html.tpl":生成HTML报告。
  • -o trivy_report.html:输出报告文件。

进阶配置

(a) 集成到自由风格项目

  1. 在Jenkins任务中添加 Execute Shell 步骤:

    bash 复制代码 
    # 扫描镜像并生成报告
trivy image --exit-code 1 --severity CRITICAL,HIGH my-app:latest
trivy image -f json -o trivy_results.json my-app:latest

  2. 使用 Warnings Next Generation插件 解析报告:

    • 安装插件后,在Post-build Actions中添加:
      • Record compiler warnings and problems
      • 选择JSON格式,路径填写trivy_results.json
(b) 定时更新漏洞数据库
bash 复制代码 
# 在Pipeline中添加定期更新步骤
sh 'trivy --download-db-only'
© 扫描文件系统或依赖项
bash 复制代码 
# 扫描项目目录
trivy fs --severity CRITICAL,HIGH .

# 扫描依赖项(如Java JAR)
trivy fs --severity HIGH --vuln-type java .

结果处理

  • 控制台输出:Trivy的扫描结果会直接在Jenkins控制台显示。
  • 归档报告 :通过archiveArtifacts保存HTML/JSON报告。
  • 通知:使用邮件插件或Slack插件发送警报。

优化建议

  • 缓存漏洞数据库 :使用trivy --cache-dir /path/to/cache减少下载时间。
  • 阈值控制 :通过--ignore-unfixed忽略未修复漏洞。
  • 并行扫描:在多个阶段中并行扫描不同组件。

通过以上步骤,Jenkins会在构建流程中自动触发Trivy扫描,确保制品的安全性。

相关推荐
一战成名9966 小时前
AI 模型持续集成流水线:CANN 支持的 DevOps 最佳实践
人工智能·ci/cd·devops
墨理学AI6 小时前
一文学会一点python数据分析-小白原地进阶(mysql 安装 - mysql - python 数据分析 - 学习阶段梳理)
python·mysql·数据分析
疯狂敲代码的老刘6 小时前
JDK 1.6到25 全版本网盘合集 (Windows + Mac + Linux)
java·linux·windows·macos·jdk
夕除6 小时前
js--15
java·jvm·spring
数研小生6 小时前
亚马逊商品列表API详解
前端·数据库·python·pandas
独好紫罗兰6 小时前
对python的再认识-基于数据结构进行-a005-元组-CRUD
开发语言·数据结构·python
曾经的三心草6 小时前
redis-9-集群
java·redis·mybatis
sun03226 小时前
【架构基础】Spring中的PropertySourcesPlaceholderConfigurer介绍 (并非新知识,比较古老的一种使用方式)
java·spring·架构
陈桴浮海6 小时前
【Linux&Ansible】学习笔记合集三
linux·运维·云原生·ansible
chilavert3186 小时前
技术演进中的开发沉思-356:重排序(中)
java·开发语言
热门推荐
01GitHub 镜像站点02Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services03openclaw配置教程(linux+局域网ollama)04UV安装并设置国内源05AI 规范驱动开发“三剑客”深度对比:Spec-Kit、Kiro 与 OpenSpec 实战指南06Linux下V2Ray安装配置指南07Claude Code Skills 实用使用手册08Vue-skills的中文文档09在Trae中使用Pencil MCP10openclaw使用nginx反代部署过程 与disconnected (1008): pairing required解决