镜像漏洞检测工具Trivy入门指南

一种适用于 CI 的简单而全面的容器漏洞扫描程序。软件漏洞是指软件或操作系统中存在的故障、缺陷或弱点。Trivy 检测操作系统包（Alpine、RHEL、CentOS等）和应用程序依赖（Bundler、Composer、npm、yarn等）的漏洞。

Trivy 很容易使用，只要安装二进制文件，就可以扫描了。扫描只需指定容器的镜像名称。与其他镜像扫描工具相比，例如 Clair，Anchore Engine，Quay 相比，Trivy 在准确性、方便性和对 CI 的支持等方面都有着明显的优势。

推荐在 CI 中使用它，在推送到 Container Registry 之前，您可以轻松地扫描本地容器镜像，Trivy具备如下的特征：

  1.  检测面很全，能检测全面的漏洞，操作系统软件包（Alpine、Red Hat Universal Base Image、Red Hat Enterprise Linux、CentOS、Oracle Linux、Debian、Ubuntu、Amazon Linux、openSUSE Leap、SUSE Enterprise Linux、Photon OS 和 Distrioless）、应用程序依赖项（Bundler、Composer、Pipenv、Poetry、npm、yarn 和 Cargo）；

  2.  使用简单，仅仅只需要指定镜像名称；

  3.  扫描快且无状态，第一次扫描将在 10 秒内完成（取决于您的网络）。随后的扫描将在一秒钟内完成。与其他扫描器在第一次运行时需要很长时间（大约10分钟）来获取漏洞信息，并鼓励您维护持久的漏洞数据库不同，Trivy 是

vy 的简单使用

下面介绍一些 Trivy 的简单使用的命令和一些测试的结果。主要从几个方面来测试 Trivy 的性能指标：

•  镜像大小对 Trivy 扫描速度的影响；
•  扫描的镜像大小和网络流量使用情况的关系；
•  扫描的结果是否容易解析；

镜像大小对 Trivy 扫描速度的影响

•  当镜像位于本地，大小 90MB 左右时候的论：接收到的网络流量等于线上镜像的大小，镜像被下载放在服务器磁盘的某处（目前本服务器未装 Docker）。

  注：再次全量扫描相同的镜像，接收流量和磁盘使用占比均不再增加。

  扫描的结果是否容易解析

  •  使用 JSON 输出扫描的结果：

  扫描镜像,openjdk:15-ea-jdk-buster
  

（编辑：泉州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!