在网络安全日益重要的今天，及时发现系统和应用中的漏洞成为了保护企业和个人信息安全的关键。而 Trivy 工具，就如同您手中的一把利剑，能够精准地刺破漏洞的伪装，为您的网络世界保驾护航。
Trivy 是一款功能强大、易于使用且开源的漏洞扫描工具，它支持对多种类型的目标进行全面且深入的漏洞检测，包括容器镜像、文件系统、Kubernetes 集群等。无论您是开发人员、运维工程师，还是安全研究人员，Trivy 都能成为您得力的助手。

前期准备

（1）下载trivy工具 Trivy0.048.0版本下载地址
（2）下载oras工具 oras下载地址
（3）使用系统为centos

经过测试，下载trivy_0.48.0_Linux-64bit.tar.gz ，使用二进制安装为较好。

安装Trivy工具

将二进制安装包上传至服务器上，并解压。

tar -xf trivy_0.48.0_Linux-64bit.tar.gz
mv ./trivy /usr/local/bin/
which trivy   #验证trivy是否可以执行

trivy -v #查看版本

拉取trivy本地漏洞库

1、在根目录创建一个trivy文件夹（这里是演示，可以自定义）

mkdir trivy
cd trivy

2、将下载下来的oras_1.2.0_linux_amd64.tar.gz文件上传至trivy目录下

3、使用tar命令将文件解压

tar -zxvf oras_1.2.0_linux_amd64.tar.gz
mv ./oras /usr/local/bin/

4、使用oras拉取本地漏洞库，使用makdir创建两个文件夹db，java-db

mkdir -p /trivy/{db,java-db}

5、拉取本地漏洞库

oras pull ghcr.nju.edu.cn/aquasecurity/trivy-java-db:1
oras pull ghcr.nju.edu.cn/aquasecurity/trivy-db:2

两个都拉取完后会有两个压缩包

6、将漏洞库解压至指定文件夹

tar -xf db.tar.gz -C db
tar -xf javadb.tar.gz -C java-db

7、将trivy目录下多余的文件删掉，只保留db和java-db

rm db.tar.gz javadb.tar.gz LICENSE oras oras_1.2.0_linux_amd64.tar.gz

8、查看dokcer的本地镜像

docker images

9、使用trivy工具指定本地漏洞库扫描cnetos镜像
–cache-dir 指定本地漏洞库路径
image 选择要扫描的镜像
–skip-db-update 跳过数据库更新

trivy --cache-dir /trivy/ image centos --skip-db-update

扫描结果

10、常用参数使用

trivy --cache-dir /trivy/ image 镜像名  #指定镜像
trivy --cache-dir /trivy/ image centos --skip-db-update --format json  #指定输出格式
trivy --cache-dir /trivy/ image centos --skip-db-update --format table   #指定输出格式
trivy --cache-dir /trivy/ filesystem 路径  #扫描指定的文件系统目录。
trivy --cache-dir /trivy/ repo 代码仓库名 #扫描代码仓库。
trivy --cache-dir /trivy/ k8s k8s集群 #扫描 Kubernetes 集群。

Trivy的漏洞库每天都在更新，如果常用的话可以写个脚本每天定时拉取更新