[翻译] 开源Devops扫描利器之Trivy

本文文字翻译自Trivy官方网站。

简介

Trivy是一个完善的完善的安全扫描器。他可以找到出现的安全问题以及这些问题的target。

Targets（Trivy可以扫描什么）：

• Container Image
• Filesystem
• Git Repository (remote)
• Virtual Machine Image
• Kubernetes
• AWS Scanners（Trivy能发现什么）：
• 操作系统的包和 在用的软件依赖(SBOM)
• 已知缺陷 (CVEs)
• IaC 问题 和 错误配置
• 敏感信息和密钥
• 软件证书

Trivy支持大多数流行的语言，操作系统，和平台，完整列表到这里看。

快速开始

可以到他的安装页面找到如何安装，这里展示常见的安装方式：

• brew install trivy
• docker run aquasec/trivy
• Download binary from https://github.com/aquasecurity/trivy/releases/latest/
• See Installation for more

Trivy可以和很多应用集成，可以去他的生态系统页面查看。

• GitHub Actions
• Kubernetes operator
• VS Code plugin
• See Ecosystem for more

一般用法：

trivy <target> [--scanners <scanner1,scanner2>] <subject>

例子:

trivy image python:3.4-alpine

结果：

这里查看视频：https://user-images.githubusercontent.com/1161307/171013513-95f18734-233d-45d3-aaf5-d6aec687db0e.mov

trivy fs --scanners vuln,secret,config myproject/

结果：

这里查看视频：https://user-images.githubusercontent.com/1161307/171013917-b1f37810-f434-465c-b01a-22de036bd9b3.mov

trivy k8s --report summary cluster

结果：

这里查看:secret-demo