内容简介:道路千万条,安全第一条; 镜像不规范,同事两行泪。相对于老前辈
道路千万条,安全第一条; 镜像不规范,同事两行泪。
Trivy 是一个面向镜像的漏洞检测工具,具备如下特点:
- 开源
- 免费
- 易用
- 准确度高
- CI 友好
相对于老前辈 Clair ,Trivy 的使用非常直观方便,适用于更多的场景。
下面是官方出具的对比表格:
扫描器 | 操作系统 | 依赖检测 | 适用性 | 准确度 | CI 友好 |
---|---|---|---|---|---|
Trivy | ◯ | ◯ | ◯ | ◎ | ◯ |
Clair | ◯ | × | △ | ◯ | △ |
Anchore Engine | ◯ | △ | △ | ◯ | △ |
Quay | ◯ | × | ◯ | ◯ | × |
MicroScanner | ◯ | × | ◯ | △ | ◯ |
Docker Hub | ◯ | × | ◯ | × | × |
GCR | ◯ | × | ◯ | ◯ | × |
另外还提供了精确度的对比表格,但是追究下来,无非是采用的参考数据的差异。至少这并不是我看重的东西,顺手是第一要务。
安装
MacOS
$ brew tap knqyf263/trivy $ brew install knqyf263/trivy/trivy
RHEL/CentOS
$ sudo vim /etc/yum.repos.d/trivy.repo [trivy] name=Trivy repository baseurl=https://knqyf263.github.io/trivy-repo/rpm/releases/$releasever/$basearch/ gpgcheck=0 enabled=1 $ sudo yum -y update $ sudo yum -y install trivy
使用
这个 工具 的最大闪光点就是提供了很多适合用在自动化场景的用法。
扫描镜像:
$ trivy centos
扫描镜像文件
$ docker save ruby:2.3.0-alpine3.9 -o ruby-2.3.0.tar $ trivy --input ruby-2.3.0.tar
根据严重程度进行过滤
$ trivy --severity HIGH,CRITICAL ruby:2.3.0
忽略未修复问题
$ trivy --ignore-unfixed ruby:2.3.0
忽略特定问题
使用 .trivyignore
:
$ cat .trivyignore # Accept the risk CVE-2018-14618 # No impact in our settings CVE-2019-1543 $ trivy python:3.4-alpine3.9
使用 JSON 输出结果
$ trivy -f json dustise/translat-chatbot:20190428-5
定义返回值
$ trivy --exit-code 0 --severity MEDIUM,HIGH ruby:2.3.0 $ trivy --exit-code 1 --severity CRITICAL ruby:2.3.0
总结
相对于 其它同类工具 ,Trivy 非常适合自动化操作,从 CircleCI 之类的公有服务,到企业内部使用的 Jenkins、Gitlab 等私有工具,或者作为开发运维人员的自测环节,都有 Trivy 的用武之地。
参考链接
以上所述就是小编给大家介绍的《全面易用的镜像漏洞检测工具:Trivy》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:- OpenJDK Docker 镜像存在错误版本漏洞
- Alpine Linux Docker 镜像安全漏洞
- KVM镜像制作及挂载镜像文件
- 查看Docker镜像仓库中镜像的所有标签
- Vagrant 使用国内镜像安装插件和 box 镜像
- 不要轻易使用 Alpine 镜像来构建 Docker 镜像,有坑!
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。