Jenkins集成Trivy安全漏洞检查指南

demonlg01122025-03-25 9:57

要将Jenkins与Trivy集成以实现制品的安全漏洞检查,可以按照以下步骤操作:

安装Trivy

在Jenkins服务器或构建节点上安装Trivy
bash 复制代码 
# 使用包管理器(如Debian/Ubuntu)
sudo apt-get install -y wget apt-transport-https gnupg lsb-release
wget -qO - https://aquasecurity.github.io/trivy-repo/deb/public.key | sudo apt-key add -
echo deb https://aquasecurity.github.io/trivy-repo/deb $(lsb_release -sc) main | sudo tee -a /etc/apt/sources.list.d/trivy.list
sudo apt-get update
sudo apt-get install -y trivy

# 或直接下载二进制文件(通用方式)
wget https://github.com/aquasecurity/trivy/releases/download/v0.50.1/trivy_0.50.1_Linux-64bit.tar.gz
tar -zxvf trivy_0.50.1_Linux-64bit.tar.gz
sudo mv trivy /usr/local/bin/

配置Jenkins Pipeline

Jenkinsfile中添加Trivy扫描步骤
groovy 复制代码 
pipeline {
    agent any

    stages {
        stage('Build') {
            steps {
                // 构建镜像(示例为Docker镜像)
                sh 'docker build -t my-app:latest .'
            }
        }

        stage('Security Scan') {
            steps {
                // 使用Trivy扫描镜像
                sh 'trivy image --exit-code 1 --severity CRITICAL,HIGH my-app:latest'

                // 可选:生成报告并保存
                sh 'trivy image --format template --template "@contrib/html.tpl" -o trivy_report.html my-app:latest'
                archiveArtifacts artifacts: 'trivy_report.html'
            }
        }
    }

    post {
        failure {
            // 如果Trivy发现漏洞导致失败,发送通知
            emailext subject: 'Security Scan Failed',
                      body: '发现高危漏洞,请检查构建日志和报告。',
                      to: '[email protected]'
        }
    }
}

关键参数说明

  • --exit-code 1:发现漏洞时返回非零退出码,使Jenkins步骤失败。
  • --severity CRITICAL,HIGH:仅检查高危漏洞(按需调整)。
  • --format template --template "@contrib/html.tpl":生成HTML报告。
  • -o trivy_report.html:输出报告文件。

进阶配置

(a) 集成到自由风格项目

  1. 在Jenkins任务中添加 Execute Shell 步骤:

    bash 复制代码 
    # 扫描镜像并生成报告
trivy image --exit-code 1 --severity CRITICAL,HIGH my-app:latest
trivy image -f json -o trivy_results.json my-app:latest

  2. 使用 Warnings Next Generation插件 解析报告:

    • 安装插件后,在Post-build Actions中添加:
      • Record compiler warnings and problems
      • 选择JSON格式,路径填写trivy_results.json
(b) 定时更新漏洞数据库
bash 复制代码 
# 在Pipeline中添加定期更新步骤
sh 'trivy --download-db-only'
© 扫描文件系统或依赖项
bash 复制代码 
# 扫描项目目录
trivy fs --severity CRITICAL,HIGH .

# 扫描依赖项(如Java JAR)
trivy fs --severity HIGH --vuln-type java .

结果处理

  • 控制台输出:Trivy的扫描结果会直接在Jenkins控制台显示。
  • 归档报告 :通过archiveArtifacts保存HTML/JSON报告。
  • 通知:使用邮件插件或Slack插件发送警报。

优化建议

  • 缓存漏洞数据库 :使用trivy --cache-dir /path/to/cache减少下载时间。
  • 阈值控制 :通过--ignore-unfixed忽略未修复漏洞。
  • 并行扫描:在多个阶段中并行扫描不同组件。

通过以上步骤,Jenkins会在构建流程中自动触发Trivy扫描,确保制品的安全性。

相关推荐
大熊程序猿2 分钟前
quartz 表达式最近10次执行时间接口编写
java·服务器·前端
小猫咪怎么会有坏心思呢11 分钟前
华为OD机试-云短信平台优惠活动-完全背包(JAVA 2024E卷)
java·开发语言·华为od
PHP武器库11 分钟前
想学编程,java,python,php先学哪个比较好?
java·python·php
jarctique16 分钟前
java 找出两个json文件的不同之处
java·json
鱼鱼说测试27 分钟前
jmeter工具简单认识
开发语言·python
ybdesire41 分钟前
MCPServer编程与CLINE配置调用MCP
android·java·数据库
转码的小石1 小时前
深入Java面试:从Spring Boot到微服务
java·spring boot·kafka·spring security·oauth2
网小鱼的学习笔记1 小时前
flask静态资源与模板页面、模板用户登录案例
后端·python·flask
aiweker1 小时前
python web开发-Flask数据库集成
前端·python·flask
程序员的世界你不懂1 小时前
将生成的报告通过jenkins发送邮件通知
java·servlet·jenkins
热门推荐
01KGG转MP3工具|非KGM文件|解密音频02扣子(coze)实战|我用扣子搭建了一个自动分析小红薯笔记内容的AI应用|详细步骤拆解03Coze扣子平台完整体验和实践(附国内和国际版对比)04字节跳动“扣子空间”AI智能体全解析05DeepSeek各版本说明与优缺点分析06从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑07免费可用!最强AI数字人对口型神器:让照片开口说话唱歌,支持多人对口型+全身动作,1分钟学会!(附保姆级教程)08AI Agent | Coze 插件使用指南:从功能解析到实操步骤09YOLOv8入门 | 重要性能衡量指标、训练结果评价及分析及影响mAP的因素【发论文关注的指标】1038、基于卷积神经网络(CNN)的车牌自动识别系统(matlab)