- 综合排序
- 最热优先
- 最新优先
- 来自专栏云安全
Trivy:容器安全扫描神器
Trivy是一款开源的安全扫描工具,专注于检测容器镜像、文件系统和代码仓库中的已知漏洞和配置错误。 作为容器安全领域的标杆工具,Trivy通过全生命周期安全防护理念和各项领先的能力,备受开发者的青睐。 三、Trivy 核心技术架构解析(一)智能扫描引擎设计Trivy 采用分层扫描架构,将检测逻辑划分为四个独立模块:1. 然而,容器安全是持续演进的挑战,Trivy 更应被视为安全体系的重要组件而非终极答案。 对于追求敏捷开发与安全平衡的现代企业,Trivy 提供了可落地的安全实践框架。
1.3K10编辑于 2025-03-14 - 来自专栏SDLC技术探究
开源Devops扫描利器之Trivy
本文文字翻译自Trivy官方网站。简介Trivy是一个完善的完善的安全扫描器。他可以找到出现的安全问题以及这些问题的target。 Targets(Trivy可以扫描什么):Container ImageFilesystemGit Repository (remote)Virtual Machine ImageKubernetesAWSScanners (Trivy能发现什么):操作系统的包和 在用的软件依赖(SBOM)已知缺陷 (CVEs)IaC 问题 和 错误配置敏感信息和密钥软件证书Trivy支持大多数流行的语言,操作系统,和平台,完整列表到这里看 这里展示常见的安装方式:brew install trivydocker run aquasec/trivyDownload binary from https://github.com/aquasecurity/trivy GitHub ActionsKubernetes operatorVS Code pluginSee Ecosystem for more一般用法:trivy <target> [--scanners
65112编辑于 2023-10-23 - 来自专栏工程师的分享
Golang代码漏洞扫描工具介绍——trivy
Trivy介绍 Trivy是不是是一款功能强大的漏洞扫描工具,它的应用场景不仅仅在代码层面,还有镜像层面,而且不仅仅能够扫描Golang,还能扫描Bundler、Composer、Pipenv、Poetry Trivy使用场景 事实上,Trivy 很容易使用,只要安装了二进制文件,就可以扫描了。 /trivy.tar.gz 3.给可执行文件增加权限:chmod +x ./trivy 4.放入Path:mv . ://github.com/aquasecurity/trivy 2.https://aquasecurity.github.io/trivy/v0.45/getting-started/installation 也就是依赖包的漏洞情况 1.基本命令使用: trivy -h 得到下图: 图片 具体的介绍可以参考: https://aquasecurity.github.io/trivy/v0.37/docs
3.6K130编辑于 2023-10-08 - 来自专栏工程师的分享
Golang代码漏洞扫描工具介绍——trivy
golang本身,而且golang代码的漏洞扫描工具,毕竟作为服务端的程序,安全性一直是一个不同忽视的地方 Trivy Trivy介绍 Trivy是不是是一款功能强大的漏洞扫描工具,它的应用场景不仅仅在代码层面 Trivy使用场景 事实上,Trivy 很容易使用,只要安装了二进制文件,就可以扫描了。 /trivy.tar.gz 3.给可执行文件增加权限:chmod +x ./trivy 4.放入Path:mv . /github.com/aquasecurity/trivy 2.https://aquasecurity.github.io/trivy/v0.45/getting-started/installation /cli/sbom/ 代码扫描使用 扫描镜像示例: trivy image 8bcba6ed2605 结果如下: 因为参数都是默认的,所以用控制台图表的形式展示 扫描文件系统示例: trivy
96840编辑于 2023-10-12 - 来自专栏伪架构师
全面易用的镜像漏洞检测工具:Trivy
Trivy 是一个面向镜像的漏洞检测工具,具备如下特点: 开源 免费 易用 准确度高 CI 友好 相对于老前辈 Clair,Trivy 的使用非常直观方便,适用于更多的场景。 安装 MacOS $ brew tap knqyf263/trivy $ brew install knqyf263/trivy/trivy RHEL/CentOS $ sudo vim /etc/yum.repos.d /trivy.repo [trivy] name=Trivy repository baseurl=https://knqyf263.github.io/trivy-repo/rpm/releases/ 扫描镜像: $ trivy centos 扫描镜像文件 $ docker save ruby:2.3.0-alpine3.9 -o ruby-2.3.0.tar $ trivy --input ruby python:3.4-alpine3.9 使用 JSON 输出结果 $ trivy -f json dustise/translat-chatbot:20190428-5 定义返回值 $ trivy
1.9K30发布于 2019-07-22 - 来自专栏伪架构师
用 Trivy 扫描新操作系统的漏洞
Trivy 的基本功能 Trivy 工具链 Trivy 自身只是一个扫描工具,实际上支撑这个工具的还有一个工具链,多种工具/库的协同,完成了从 CVE 到扫描识别的各个环节,其中包括: vuln-list-update trivy-db: 既是工具,也是库,用于操作 Trivy 的数据库。 Trivy: 获取 trivy-db 的 Release 数据,进行漏洞扫描工作。 trivy-db 从 vuln-list 下载数据,转换为 bbolt 格式,发布到 trivy-db 的 Release。 Trivy 下载 trivy-db 数据,作为本地检测的数据源。 Trivy 的扫描流程 Trivy 首先会使用 Fanal 对待扫描镜像进行检测,Fanal 会根据基础镜像哈希码查询缓存(MACOS 中是 ~/Library/Caches/trivy/fanal/fanal.db
3K20发布于 2021-04-25 - 来自专栏DevOps持续集成
将Trivy与Gitlab Pipeline集成实现镜像扫描
什么是Trivy? Trivy是由aquasecurity开发的一个简单的漏洞扫描器,用于扫描容器和其他工件。它主要用于静态分析。适合与流水线的CI阶段集成。 Trivy在也可以在github中使用。 Trivy是做什么的? 如上所述,它是一个漏洞扫描器,主要用于检测容器级别的漏洞和依赖关系。 扫描镜像的语法如下: trivy image <image name> 请记住,扫描镜像只是 Trivy 的一项功能。您还可以扫描 repos、containers、project 等。 例如,如果我们想将它以 json 格式存储在名为 trivy.json 的文件中,我们的命令将是这样的: trivy image -f json -o trivy.json <image> -f 参数负责显示格式 /trivy — exit-code 0 — severity HIGH — no-progress — auto-refresh trivy-ci-test - .
2.5K40编辑于 2022-04-07 - 来自专栏云云众生s
Trivy为K8s增加KBOM漏洞扫描
译自 Akin to SBOM, Trivy Adds KBOM Vulnerability Scanning to K8s,作者 Itay Shakury 是 Aqua Security 的开源副总裁 为了使组织更好地理解 Kubernetes 环境中的组件,并大大降低风险,Aqua Security 的开源安全扫描器 Trivy 推出了 Kubernetes 物料清单(KBOM)。 KBOM介绍 通过使用 KBOM 分析 Kubernetes 集群,Trivy 可以生成其中使用的所有组件的综合清单。 KBOM的漏洞利用 在 KBOM 的基础上,Trivy 现在可以提供对 Kubernetes 集群及其核心组件的完整漏洞评估。 Trivy 已经是现有操作系统的突出漏洞扫描器,通过最近添加 KBOM 和 Kubernetes 漏洞扫描,它正在完成另一个重要里程碑。
24910编辑于 2024-03-28 - 来自专栏MoeLove
K8S 生态周报| Trivy 发布新版本
1 Trivy 发布 v0.9.x 版本 Trivy ( https://github.com/aquasecurity/trivy ) 是一款由 Aqua Security 开源的镜像漏洞安全扫描程序 v0.9.x 系列版本,以下是一些值得注意的变更: 支持 GitHub Advisory 数据库 ( https://github.com/advisories )了,相当于扩充了它的漏洞库,可以大幅提升 Trivy alpine:3.7 RUN apk add --no-cache curl \ && curl -sfL https://raw.githubusercontent.com/aquasecurity/trivy / \ && trivy --reset && rm -f /usr/loca/bin/trivy && apk del curl $ docker build -t vulnerable-image 支持直接扫描 Git 仓库(当前只允许扫描公开仓库); 对此版本感兴趣的小伙伴,欢迎下载体验 https://github.com/aquasecurity/trivy/releases/tag/v0.9.1
56020发布于 2020-06-16 - 来自专栏运维之美
超实用的容器镜像漏洞检测工具 Trivy 入门指南
Trivy 的特征 ? Trivy 是一种适用于 CI 的简单而全面的容器漏洞扫描程序。软件漏洞是指软件或操作系统中存在的故障、缺陷或弱点。 trivy $ yum install trivy $ brew install trivy 无需安装数据库、库等先决条件(例外情况是需要安装 rpm 以扫描基于 RHEL/CentOS 的图像) Trivy 的安装 这里安装 Trivy 的环境是 Centos7,安装的版本是 0.16.0,安装的命令如下: $ wget https://github.com/aquasecurity/trivy 主要从几个方面来测试 Trivy 的性能指标: 镜像大小对 Trivy 扫描速度的影响; 扫描的镜像大小和网络流量使用情况的关系; 扫描的结果是否容易解析; 镜像大小对 Trivy 扫描速度的影响 当镜像位于本地 $ trivy -–download-db-only $ trivy -–download-db-only -–only-update alpine 忽略未修复的漏洞 默认情况下,Trivy 还会检测未修补
10.5K30发布于 2021-04-16 - 来自专栏技术随笔
离线更新k8s环境下的trivy漏洞库方法
对应的trivy的容器镜像是trivy-adapter-photon:v2.1.4,使用的是trivy version 1,使用的Trivy DB 的更新日期还是2021年,支持的最高Trivy DB /db.tar.gz -C $TRIVY_TEMP_DIR trivy/db # 4. /trivy.db xxx-namespace/harbor-harbor-trivy-0:/home/scanner/.cache/trivy/db/trivy.db OCI runtime exec -0 -n xxx-namespace -- mv /home/scanner/.cache/trivy/db/trivy.db /home/scanner/.cache/trivy/db/trivy.db.bak2 /download/trivy/trivy.db?
73100编辑于 2025-07-14 - 来自专栏云原生工具箱
【每日一个云原生小技巧 #28】使用 Trivy 进行漏洞扫描
Trivy 是一款简单且全面的容器和其他软件构件的漏洞扫描工具。由于其易用性和高效性,Trivy 在容器安全领域受到了广泛的关注和使用。 特点 全面性: Trivy 不仅能扫描容器镜像中的操作系统软件包的漏洞,还能检测主流编程语言的依赖库中的漏洞。 易用性: 相比其他同类工具,Trivy 易于安装和使用,不需要复杂的配置。 使用技巧 定期更新数据库: Trivy 的漏洞数据库会定期更新,确保使用最新的数据库进行扫描以获得最准确的结果。 使用案例 假设您想在 GitHub Actions 中集成 Trivy 以自动扫描 Docker 镜像。 - name: Run Trivy vulnerability scanner uses: aquasecurity/trivy-action@master with
94910编辑于 2023-11-22 - 来自专栏云原生实验室
持续监控集群中的镜像漏洞
镜像接受一个缺省为 NS_LABEL="trivy=true" 的标签,每次触发时,会根据这个标签选择命名空间,获取选定命名空间中运行的镜像,并调用 trivy i -f json [image] 输出结果 FROM flant/shell-operator:v1.0.0-rc.2 ENV TRIVY_CACHE_DIR=/data/trivy \ TRIVY_QUIET=true \ GITHUB_TOKEN ="" \ NS_LABEL="trivy=true" RUN apk --no-cache add python3=3.8.8-r0 COPY trivy-scanner.py /hooks COPY trivy /usr/local/bin VOLUME [ "/data/trivy", "/data/cache" ] 上文中的几个环境变量: TRIVY_CACHE_DIR:指定 Trivy TRIVY_QUIET:Trivy 环境变量,指定 Trivy 用静默方式运行。 GITHUB_TOKEN:Trivy 会使用该 Token 更新漏洞库,防止触发 Rate Limit。
62520发布于 2021-04-23 - 来自专栏YP小站
适用于CI容器漏洞扫描神器
Trivy 简介 Trivy 是一个用于容器简单而全面的漏洞扫描程序。软件漏洞是软件或操作系统中存在的故障,缺陷或弱点。 Trivy 检测OS软件包(Alpine,RHEL,CentOS等)的漏洞和应用程序依赖项(捆绑程序,Composer,npm,yarn等)。Trivy易于使用。只需安装二进制文件即可开始扫描。 安装 RHEL/CentOS $ sudo vim /etc/yum.repos.d/trivy.repo [trivy] name=Trivy repository baseurl=https:// $ sudo dpkg -i trivy_0.1.6_Linux-64bit.deb macOS $ brew install aquasecurity/trivy/trivy 例子 扫描镜像 $ trivy python:3.6.4 结果输出: ?
2K20发布于 2020-06-04 - 来自专栏Bypass
镜像安全扫描工具
1、Trivy Trivy是一个全面的多功能安全扫描器,支持在容器镜像、Kubernetes、代码存储库、AWS中查找漏洞、错误配置、敏感信息和密钥、SBOM等。 github项目地址: https://github.com/aquasecurity/trivy (1)安装 wget https://github.com/aquasecurity/trivy/releases /download/v0.47.0/trivy_0.47.0_Linux-64bit.rpm rpm -i rpm -i trivy_0.47.0_Linux-64bit.rpm (2)扫描示例 trivy image nginx:latest trivy image --severity HIGH,CRITICAL nginx:latest 2、veinmind-tools 这是一个容器安全工具集,支持恶意文件
1K30编辑于 2023-11-07 - 来自专栏ThoughtWorks
容器安全扫描工具推荐
参考 Trivy 官网 首先,我们可以将这些扫描工具按照其执行的环境简单分类;因为 Docker Hub、GCR 和 Quay 是需要在服务端也就是容器注册中心运行的, 所以适合方案1;Trivy、Clair 经过调研,发现 Trivy 的文档非常详细,非常友好, 而且 Trivy 的使用方式更加友好,比如我们可以过滤掉(.trivyignore)你指定的漏洞,对于最新发现的漏洞,官方没有给出修复版本,这时候我们就可以忽略这个漏洞继续构建 Trivy集成到流水线中的使用方法 Trivy 支持多种扫描方式,如扫描容器镜像、Git 仓库和文件系统等;下面,我们使用 GitHub Actions 以 Docker 运行 Trivy 扫描构建好的镜像产出物来展示 Trivy 的强大之处,下面是 GitHub Actions 的部分代码: - name: Trivy scanner run: | docker run --rm -v /var 想了解更多关于参数和使用方法的信息,请访问 Trivy 的官方网站:https://github.com/aquasecurity/trivy。 总结 无论你在哪里,安全都是一个非常重要的问题。
2.7K30编辑于 2021-12-28 - 来自专栏MoeLove
K8S 生态周报| Istio 已修复导致 Pod 崩溃的 bug
(*v1.Pod) } return pod, false } Trivy v0.10.1 发布 本周 Trivy 相继发布了 v0.10.0 和 v0.10.1 版本,我们一起来看看有哪些值得关注的内容吧 (MoeLove) ➜ ~ cat test_trivy.rego package trivy ignore { input.Severity == {"UNKNOWN", "MEDIUM (这里一定要注意搞清楚逻辑, trivy 的参数为忽略掉匹配成功的规则。) (MoeLove) ➜ ~ trivy image -f json --ignore-policy test_trivy.rego alpine:3.10.2 [ { "Target" /trivy/pull/561 [5] #574: https://github.com/aquasecurity/trivy/pull/574 [6] Trivy ReleaseNote: https
61020发布于 2020-08-06 - 来自专栏伪架构师
持续监控集群中的镜像漏洞
镜像接受一个缺省为 NS_LABEL="trivy=true" 的标签,每次触发时,会根据这个标签选择命名空间,获取选定命名空间中运行的镜像,并调用 trivy i -f json [image] 输出结果 FROM flant/shell-operator:v1.0.0-rc.2 ENV TRIVY_CACHE_DIR=/data/trivy \ TRIVY_QUIET=true \ GITHUB_TOKEN ="" \ NS_LABEL="trivy=true" RUN apk --no-cache add python3=3.8.8-r0 COPY trivy-scanner.py /hooks COPY trivy /usr/local/bin VOLUME [ "/data/trivy", "/data/cache" ] 上文中的几个环境变量: TRIVY_CACHE_DIR:指定 Trivy TRIVY_QUIET:Trivy 环境变量,指定 Trivy 用静默方式运行。 GITHUB_TOKEN:Trivy 会使用该 Token 更新漏洞库,防止触发 Rate Limit。
66820发布于 2021-04-08 - 来自专栏DevOps持续集成
将Docker镜像安全扫描步骤添加到CI/CD管道
对于本教程,我将在GitlabCI管道上使用Trivy。 Trivy快速概述 Trivy是一种易于使用但准确的图像安全扫描仪。 /bin/trivy / usr / local / bin / trivy $ trivy --version 及其用法: $ trivy image nginx:alpine 给我们这样的输出 这次,它在基于Trivy官方图像的容器上运行。它基于trivy命令扫描镜像,并将报告输出到名为scanning-report.txt的文件中 太好了! 默认情况下,Trivy在标准输出中打印报告。在此示例中,我们告诉trivy将报告输出到文件中,并根据该文件创建了作业工件。 幸运的是,trivy允许我们使用“严重性”选项仅查找特定严重性的漏洞。我们还可以借助“退出代码”选项来处理退出代码,告诉trivy如果发现一个漏洞,则返回1,否则返回0。
2.6K20编辑于 2022-10-04 找到啦,我们已上车,Github 27000+ star,研发团队必备开源工具项目,真丝滑!!!
Trivy 正是针对这些痛点设计,通过易用、速度快、集成方便的方式,把安全扫描融入开发流程。 核心功能亮点以下是 Trivy 的 6 个突出功能:多目标扫描支持:容器镜像、文件系统、虚拟机镜像、Git 仓库、Kubernetes 资源、AWS 资源插件等。 技术架构模块描述trivy-db包含 NVD、Red Hat、Ubuntu、安全数据库,用于支持漏洞检测,默认每 6 小时构建一次,24 小时更新一次。 使用示例CLI 使用示例# 扫描镜像及误配置和机密信息trivy image --scanners vuln,misconfig,secret nginx:latest# 扫描本地文件系统trivy fs 项目地址 https://github.com/aquasecurity/trivy
35710编辑于 2025-08-08
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号