在云原生安全的场景中,一个常见的场景就是对漏洞和配置进行扫描,以发现整个 K8s 环境的安全问题。今天我们来介绍一个高效的扫描工具Trivy。
Trivy 是什么
- Trivy(tri 发音为 trigger,vy 发音为 envy)是一个简单而全面的漏洞/错误配置扫描器,用于容器和 K8s 环境。
- 软件漏洞是软件或操作系统中存在的故障、缺陷或弱点。
- Trivy 检测操作系统包(Alpine、RHEL、CentOS 等)和特定语言包(Bundler、Composer、npm、yarn 等)的漏洞。
- 此外,Trivy 会扫描基础设施即代码 (IaC) 文件,例如 Terraform 和 Kubernetes,以检测使您的部署面临攻击风险的潜在配置问题。
- Trivy 易于使用。只需安装二进制文件,您就可以开始扫描了。扫描所需要做的就是指定一个目标,例如容器的镜像名称。
Trivy 的类型
Trivy 检测两种类型的安全问题 :
- 漏洞
- 配置错误
Trivy 可以扫描三种不同的对象:
- 容器镜像
- 文件系统
- Git 仓库
Trivy 可以在两种不同的模式下运行:
- standalone
- server-client
Trivy 的特征
- 全面的漏洞检测
涵盖操作系统包操作系统包、开语言、错误配置、策略等内容。
- 简单
仅指定镜像名称、包含 IaC 配置的目录或工件名称
- 快速
理想情况下可以在几十秒内完成扫描动作。
- 易于安装
是一个简易的执行工具,apt-get install,yum install,brew install 均可安装,没有前置条件,如安装DB的,依赖库等
- 高精确度
特别是 Alpine Linux 和 RHEL/CentOS,其他操作系统也高。
Trivy 的安装
Yum 源方式安装
# Yum 源方式安装
$ sudo vim /etc/yum.repos.d/trivy.repo[trivy]name=Trivy repositorybaseurl=https://aquasecurity.github.io/trivy-repo/rpm/releases/$releasever/$basearch/gpgcheck=0enabled=1$ sudo yum -y update$ sudo yum -y install trivyrpm 方式安装
rpm -ivh https://github.com/aquasecurity/trivy/releases/download/v0.19.2/trivy_0.19.2_Linux-64bit.rpm二进制方式安装
mkdir -p $GOPATH/src/github.com/aquasecuritycd
$GOPATH/src/github.com/aquasecuritygit clone --depth 1 --branch v0.19.2 https://github.com/aquasecurity/trivy
cd trivy/cmd/trivy/
export GO111MODULE=ongo
install快速执行
trivy <target> [--security-checks <scanner1,scanner2>] <subject>例如
trivy image nginx:1.16
Trivy 过滤漏洞
默认情况下, Trivy还会检测未修补/未修复的漏洞。这意味着即使您更新所有软件包,您也无法修复这些漏洞。如果您想忽略它们,请使用该--ignore-unfixed选项。
隐藏未修复得漏洞
# trivy image --ignore-unfixed nginx:1.16按严重程度, 使用--severity选项
# trivy image --severity HIGH,CRITICAL nginx:1.16按漏洞ID, 使用.trivyignore
# cat .trivyignore# Accept the riskCVE-2018-14618# No impact in our settingsCVE-2019-1543# trivy image nginx:1.16按类型, 使用--vuln-type选项
# trivy image --vuln-type os nginx:1.16Trivy 漏洞报告格式
指定输出格式为表格(默认)
# trivy image -f table nginx:1.16指定输出格式为 json
# trivy image -f json -o results.json nginx:1.16Trivy 项目信息
Github 项目地址:https://github.com/aquasecurity/trivy
关于HummerRisk
HummerRisk 是开源的云原生安全平台,以非侵入的方式解决云原生的安全和治理问题,核心能力包括混合云的安全治理和K8S容器云安全检测。
![LeetCode[215]数组中的第K个最大元素](https://img-blog.csdnimg.cn/img_convert/07a5ff176350401bbd4d1e5ab74faa90.png)
