Jenkins集成Trivy安全漏洞检查指南

demonlg01122025-03-25 9:57

要将Jenkins与Trivy集成以实现制品的安全漏洞检查,可以按照以下步骤操作:

安装Trivy

在Jenkins服务器或构建节点上安装Trivy
bash 复制代码 
# 使用包管理器(如Debian/Ubuntu)
sudo apt-get install -y wget apt-transport-https gnupg lsb-release
wget -qO - https://aquasecurity.github.io/trivy-repo/deb/public.key | sudo apt-key add -
echo deb https://aquasecurity.github.io/trivy-repo/deb $(lsb_release -sc) main | sudo tee -a /etc/apt/sources.list.d/trivy.list
sudo apt-get update
sudo apt-get install -y trivy

# 或直接下载二进制文件(通用方式)
wget https://github.com/aquasecurity/trivy/releases/download/v0.50.1/trivy_0.50.1_Linux-64bit.tar.gz
tar -zxvf trivy_0.50.1_Linux-64bit.tar.gz
sudo mv trivy /usr/local/bin/

配置Jenkins Pipeline

Jenkinsfile中添加Trivy扫描步骤
groovy 复制代码 
pipeline {
    agent any

    stages {
        stage('Build') {
            steps {
                // 构建镜像(示例为Docker镜像)
                sh 'docker build -t my-app:latest .'
            }
        }

        stage('Security Scan') {
            steps {
                // 使用Trivy扫描镜像
                sh 'trivy image --exit-code 1 --severity CRITICAL,HIGH my-app:latest'

                // 可选:生成报告并保存
                sh 'trivy image --format template --template "@contrib/html.tpl" -o trivy_report.html my-app:latest'
                archiveArtifacts artifacts: 'trivy_report.html'
            }
        }
    }

    post {
        failure {
            // 如果Trivy发现漏洞导致失败,发送通知
            emailext subject: 'Security Scan Failed',
                      body: '发现高危漏洞,请检查构建日志和报告。',
                      to: 'team@example.com'
        }
    }
}

关键参数说明

  • --exit-code 1:发现漏洞时返回非零退出码,使Jenkins步骤失败。
  • --severity CRITICAL,HIGH:仅检查高危漏洞(按需调整)。
  • --format template --template "@contrib/html.tpl":生成HTML报告。
  • -o trivy_report.html:输出报告文件。

进阶配置

(a) 集成到自由风格项目

  1. 在Jenkins任务中添加 Execute Shell 步骤:

    bash 复制代码 
    # 扫描镜像并生成报告
trivy image --exit-code 1 --severity CRITICAL,HIGH my-app:latest
trivy image -f json -o trivy_results.json my-app:latest

  2. 使用 Warnings Next Generation插件 解析报告:

    • 安装插件后,在Post-build Actions中添加:
      • Record compiler warnings and problems
      • 选择JSON格式,路径填写trivy_results.json
(b) 定时更新漏洞数据库
bash 复制代码 
# 在Pipeline中添加定期更新步骤
sh 'trivy --download-db-only'
© 扫描文件系统或依赖项
bash 复制代码 
# 扫描项目目录
trivy fs --severity CRITICAL,HIGH .

# 扫描依赖项(如Java JAR)
trivy fs --severity HIGH --vuln-type java .

结果处理

  • 控制台输出:Trivy的扫描结果会直接在Jenkins控制台显示。
  • 归档报告 :通过archiveArtifacts保存HTML/JSON报告。
  • 通知:使用邮件插件或Slack插件发送警报。

优化建议

  • 缓存漏洞数据库 :使用trivy --cache-dir /path/to/cache减少下载时间。
  • 阈值控制 :通过--ignore-unfixed忽略未修复漏洞。
  • 并行扫描:在多个阶段中并行扫描不同组件。

通过以上步骤,Jenkins会在构建流程中自动触发Trivy扫描,确保制品的安全性。

相关推荐
Swift社区10 分钟前
如何解决 Spring Bean 循环依赖
java·后端·spring
会飞的鱼_12313 分钟前
Nginx性能优化与防盗链实战指南
运维·nginx·性能优化
我真的是大笨蛋14 分钟前
从源码和设计模式深挖AQS(AbstractQueuedSynchronizer)
java·jvm·设计模式
Pretend° Ω22 分钟前
LRU缓存详解:用C语言实现高效数据管理
运维·c语言·spring·缓存·lru·双向链表
Empty_77729 分钟前
Linux防火墙-Iptables
linux·运维·服务器
空山新雨(大队长)1 小时前
Java第五课:输入输出
java·开发语言
白云如幻1 小时前
【Java】QBC检索和本地SQL检索
java·数据库·sql
鸡哥爱技术1 小时前
Django入门笔记
笔记·python·django
面汤放盐1 小时前
互联网“黑话”生存实用指南(100)
java·后端
saynaihe1 小时前
关于Ubuntu的 update造成的内核升级
linux·运维·服务器·ubuntu·devops
热门推荐
01conda中设置镜像地址(附所有可换的地址)02UV安装并设置国内源03保姆级教程:手把手教你用Dify实现完美多轮对话(附Chatflow和提示词)04UV 工具安装与国内镜像源配置指南05A股预测还能更准?开源大模型Kronos带你跑通预测+回测全流程06GitHub 镜像站点07突破百度网盘的下载限速,两种方法教会你【超详细】08KGG转MP3工具|非KGM文件|解密音频09教你如何认证 Gemini 教育优惠的二次验证,薅个 1年的 Gemini Pro 会员1046个Nano-banana 精选提示词,持续更新中