开源工具系列2:Trivy
手机扫一扫
apache别名apache tomcat 启动java 加密 解密debian 安装nginxjava 静态变量
尼墨宝库经验文章开源工具系列2:Trivy

开源工具系列2:Trivy

经验文章nimo972025-06-16 22:59:542A+A-

在云原生安全的场景中,一个常见的场景就是对漏洞和配置进行扫描,以发现整个 K8s 环境的安全问题。今天我们来介绍一个高效的扫描工具Trivy。

Trivy 是什么

  • Trivy(tri 发音为 trigger,vy 发音为 envy)是一个简单而全面的漏洞/错误配置扫描器,用于容器和 K8s 环境。
  • 软件漏洞是软件或操作系统中存在的故障、缺陷或弱点。
  • Trivy 检测操作系统包(Alpine、RHEL、CentOS 等)和特定语言包(Bundler、Composer、npm、yarn 等)的漏洞。
  • 此外,Trivy 会扫描基础设施即代码 (IaC) 文件,例如 Terraform 和 Kubernetes,以检测使您的部署面临攻击风险的潜在配置问题。
  • Trivy 易于使用。只需安装二进制文件,您就可以开始扫描了。扫描所需要做的就是指定一个目标,例如容器的镜像名称。

Trivy 的类型

Trivy 检测两种类型的安全问题 :

  • 漏洞
  • 配置错误

Trivy 可以扫描三种不同的对象:

  • 容器镜像
  • 文件系统
  • Git 仓库

Trivy 可以在两种不同的模式下运行:

  • standalone
  • server-client

Trivy 的特征

全面的漏洞检测

涵盖操作系统包操作系统包、开语言、错误配置、策略等内容。

简单

仅指定镜像名称、包含 IaC 配置的目录或工件名称

快速

理想情况下可以在几十秒内完成扫描动作。

易于安装

是一个简易的执行工具,apt-get install,yum install,brew install 均可安装,没有前置条件,如安装DB的,依赖库等

高精确度

特别是 Alpine Linux 和 RHEL/CentOS,其他操作系统也高。

Trivy 的安装

Yum 源方式安装

# Yum 源方式安装

$ sudo vim /etc/yum.repos.d/trivy.repo[trivy]name=Trivy repositorybaseurl=https://aquasecurity.github.io/trivy-repo/rpm/releases/$releasever/$basearch/gpgcheck=0enabled=1$ sudo yum -y update$ sudo yum -y install trivy

rpm 方式安装

rpm -ivh https://github.com/aquasecurity/trivy/releases/download/v0.19.2/trivy_0.19.2_Linux-64bit.rpm

二进制方式安装

mkdir -p $GOPATH/src/github.com/aquasecuritycd 
$GOPATH/src/github.com/aquasecuritygit clone --depth 1 --branch v0.19.2 https://github.com/aquasecurity/trivy
cd trivy/cmd/trivy/
export GO111MODULE=ongo 
install

快速执行

trivy <target> [--security-checks <scanner1,scanner2>] <subject>

例如

trivy image nginx:1.16

Trivy 过滤漏洞

默认情况下, Trivy还会检测未修补/未修复的漏洞。这意味着即使您更新所有软件包,您也无法修复这些漏洞。如果您想忽略它们,请使用该--ignore-unfixed选项。

隐藏未修复得漏洞

# trivy image --ignore-unfixed nginx:1.16

按严重程度, 使用--severity选项

# trivy image --severity HIGH,CRITICAL  nginx:1.16

按漏洞ID, 使用.trivyignore

# cat .trivyignore# Accept the riskCVE-2018-14618# No impact in our settingsCVE-2019-1543# trivy image  nginx:1.16

按类型, 使用--vuln-type选项

# trivy image --vuln-type os  nginx:1.16

Trivy 漏洞报告格式

指定输出格式为表格(默认)

# trivy image -f table nginx:1.16

指定输出格式为 json

# trivy image -f json -o results.json nginx:1.16


Trivy 项目信息

Github 项目地址:
https://github.com/aquasecurity/trivy

关于HummerRisk

HummerRisk 是开源的云原生安全平台,以非侵入的方式解决云原生的安全和治理问题,核心能力包括混合云的安全治理和K8S容器云安全检测。

点击这里复制本文地址 以上内容由nimo97整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
nginx的发音

相关文章

qrcode

尼墨宝库 © All Rights Reserved.  蜀ICP备2024111239号-7