基礎(chǔ)介紹

基礎(chǔ)描述

• Trivy是一個(gè)開(kāi)源的容器鏡像漏洞掃描器，可以?huà)呙璩Ｒ?jiàn)的操作系統(tǒng)和應(yīng)用程序依賴(lài)項(xiàng)的漏洞。它可以與Docker和Kubernetes集成，幫助用戶(hù)在構(gòu)建和部署容器鏡像時(shí)發(fā)現(xiàn)安全漏洞。Trivy支持多種漏洞數(shù)據(jù)庫(kù)，包括Red Hat、Debian、Alpine等，可以根據(jù)用戶(hù)的需求進(jìn)行配置。Trivy還支持CI/CD集成，可以在構(gòu)建過(guò)程中自動(dòng)掃描鏡像并生成報(bào)告。與Harbor集成需要使用Harbor Scanner Adapter for Trivy，可以通過(guò)配置Scanner Adapter將Trivy與Harbor集成，實(shí)現(xiàn)鏡像的自動(dòng)掃描和漏洞報(bào)告生成。

Trivy特點(diǎn)

• 全面的漏洞檢測(cè)：涵蓋操作系統(tǒng)包、操作系統(tǒng)包、開(kāi)發(fā)語(yǔ)言、錯(cuò)誤配置、策略等內(nèi)容。

• 簡(jiǎn)單：僅指定鏡像名稱(chēng)、包含IaC配置的目錄或工件名稱(chēng)。

• 快速：理想情況下可以在幾十秒內(nèi)完成掃描動(dòng)作。

• 易于安裝：是一個(gè)簡(jiǎn)易的執(zhí)行工具，可以通過(guò)apt-get install、yum install、brew install等方式安裝，沒(méi)有前置條件，如安裝DB的，依賴(lài)庫(kù)等。

• 高精確度：特別是Alpine Linux和RHEL/CentOS，其他操作系統(tǒng)也高。

• trivy官網(wǎng)：https://aquasecurity.github.io/trivy/v0.47/

• 開(kāi)源地址：https://github.com/aquasecurity/trivy

部署

• trivy的安裝方式比較多，rpm的形式安裝，apt的形式安裝，helm形式的直接集成到kubernetes內(nèi)，也可以直接docker run 鏡像的方式部署。

在線(xiàn)下載

• 選擇相應(yīng)的版本：https://github.com/aquasecurity/trivy/releases
  

wget https://github.com/aquasecurity/trivy/releases/download/v0.47.0/trivy_0.47.0_Linux-64bit.tar.gz

百度網(wǎng)盤(pán)下載

鏈接：https://pan.baidu.com/s/1SkBXkcx-UAMy8U5a5jxguQ?pwd=qhxy
提取碼：qhxy
–來(lái)自百度網(wǎng)盤(pán)超級(jí)會(huì)員V7的分享

安裝

• 解壓

tar -zxf trivy_0.47.0_Linux-64bit.tar.gz

• 移入二進(jìn)制目錄

mv trivy /usr/bin/

• 查看幫助信息

trivy --help

使用

掃描nginx鏡像

trivy image nginx

• 第一次會(huì)去遠(yuǎn)程下載安全漏洞加密數(shù)據(jù)庫(kù)，下載完成后和本地鏡像進(jìn)行對(duì)比，輸出結(jié)果
  
• 數(shù)據(jù)庫(kù)緩存目錄

/root/.cache/trivy

• 根據(jù)不同的鏡像類(lèi)型下載不同的安全漏洞庫(kù)

掃描結(jié)果解析

• 打印nginx高危安全漏洞

trivy image -s HIGH nginx

• 著重關(guān)注最后一列 Title，點(diǎn)擊鏈接信息，查看漏洞詳情
  
• 如 安全漏洞 CVE-2022-22576 詳細(xì)描述信息
  

json格式輸出

trivy image -s HIGH nginx -f json -o ng-trivy.json

• 基于JSON格式，后續(xù)可進(jìn)行可視化展示。

總結(jié)

Trivy是一款專(zhuān)門(mén)為云原生環(huán)境設(shè)計(jì)的開(kāi)源漏洞掃描工具，它具有簡(jiǎn)單、全面、快速和易于安裝的特點(diǎn)。通過(guò)檢測(cè)操作系統(tǒng)包、開(kāi)發(fā)語(yǔ)言包、錯(cuò)誤配置和策略等問(wèn)題，Trivy可以幫助團(tuán)隊(duì)在構(gòu)建過(guò)程中發(fā)現(xiàn)并解決潛在的安全風(fēng)險(xiǎn)。Trivy適用于容器和Kubernetes環(huán)境，可以?huà)呙杌A(chǔ)設(shè)施即代碼 (IaC) 文件以檢測(cè)配置問(wèn)題。Trivy的高精確度使其成為許多開(kāi)發(fā)團(tuán)隊(duì)的可靠選擇?？傮w而言，Trivy是一個(gè)功能強(qiáng)大的開(kāi)源漏洞掃描器，有助于增強(qiáng)云原生環(huán)境的安全性。