开源工具系列 2:Trivy
在云原生安全的场景中,一个常见的场景就是对漏洞和配置进行扫描,以发现整个 K8s 环境的安全问题。今天我们来介绍一个高效的扫描工具 Trivy。
Trivy 是什么
Trivy(tri 发音为 trigger,vy 发音为 envy)是一个简单而全面的漏洞/错误配置扫描器,用于容器和 K8s 环境。
软件漏洞是软件或操作系统中存在的故障、缺陷或弱点。
Trivy 检测操作系统包(Alpine、RHEL、CentOS 等)和特定语言包(Bundler、Composer、npm、yarn 等)的漏洞。
此外,Trivy 会扫描基础设施即代码 (IaC) 文件,例如 Terraform 和 Kubernetes,以检测使您的部署面临攻击风险的潜在配置问题。
Trivy 易于使用。只需安装二进制文件,您就可以开始扫描了。扫描所需要做的就是指定一个目标,例如容器的镜像名称。
Trivy 的类型
Trivy 检测两种类型的安全问题 :
漏洞
配置错误
Trivy 可以扫描三种不同的对象:
容器镜像
文件系统
Git 仓库
Trivy 可以在两种不同的模式下运行:
standalone
server-client
Trivy 的特征
全面的漏洞检测
涵盖操作系统包操作系统包、开语言、错误配置、策略等内容。
简单
仅指定镜像名称、包含 IaC 配置的目录或工件名称
快速
理想情况下可以在几十秒内完成扫描动作。
易于安装
是一个简易的执行工具,apt-get install,yum install,brew install 均可安装,没有前置条件,如安装 DB 的,依赖库等
高精确度
特别是 Alpine Linux 和 RHEL/CentOS,其他操作系统也高。
Trivy 的安装
Yum 源方式安装
# Yum 源方式安装
rpm 方式安装
二进制方式安装
快速执行
例如
trivy image nginx:1.16
Trivy 过滤漏洞
默认情况下, Trivy 还会检测未修补/未修复的漏洞。这意味着即使您更新所有软件包,您也无法修复这些漏洞。如果您想忽略它们,请使用该--ignore-unfixed 选项。
隐藏未修复得漏洞
按严重程度, 使用--severity 选项
按漏洞 ID, 使用.trivyignore
按类型, 使用--vuln-type 选项
Trivy 漏洞报告格式
指定输出格式为表格(默认)
指定输出格式为 json
Trivy 项目信息
Github 项目地址:https://github.com/aquasecurity/trivy
关于 HummerRisk
HummerRisk 是开源的云原生安全平台,以非侵入的方式解决云原生的安全和治理问题,核心能力包括混合云的安全治理和 K8S 容器云安全检测。
版权声明: 本文为 InfoQ 作者【HummerCloud】的原创文章。
原文链接:【http://xie.infoq.cn/article/305d5b4795e450603d5d1a2d9】。文章转载请联系作者。
还未添加个人签名 2022-09-07 加入
还未添加个人简介
评论