【每日一个云原生小技巧 #28】使用 Trivy 进行漏洞扫描

Trivy 是一款简单且全面的容器和其他软件构件的漏洞扫描工具。由于其易用性和高效性，Trivy 在容器安全领域受到了广泛的关注和使用。

特点

1. 全面性: Trivy 不仅能扫描容器镜像中的操作系统软件包的漏洞，还能检测主流编程语言的依赖库中的漏洞。
2. 易用性: 相比其他同类工具，Trivy 易于安装和使用，不需要复杂的配置。
3. 速度快: Trivy 的扫描速度相对较快，这对于持续集成环境尤为重要。

使用场景

1. CI/CD 管道: 在持续集成和持续部署流程中自动扫描新构建的容器镜像和应用依赖。
2. 本地开发环境: 开发者在本地构建镜像时进行安全扫描，及时发现和修复潜在的安全问题。
3. 容器镜像仓库安全监控: 对存储在镜像仓库中的容器镜像进行定期扫描，确保存储的镜像安全可靠。

使用技巧

1. 定期更新数据库: Trivy 的漏洞数据库会定期更新，确保使用最新的数据库进行扫描以获得最准确的结果。
2. 整合到 CI/CD 工作流: 通过脚本或插件将 Trivy 集成到 Jenkins、GitLab CI、GitHub Actions 等 CI/CD 工具中。
3. 扫描应用依赖: 除了扫描容器镜像，还可以扫描项目的应用依赖，如 npm, pip 等。
4. 使用缓存提高扫描速度: 在持续集成流程中使用缓存可以大幅提高扫描速度。

使用案例

假设您想在 GitHub Actions 中集成 Trivy 以自动扫描 Docker 镜像。

场景: 每当有新代码提交到 GitHub 仓库时，自动构建 Docker 镜像，并使用 Trivy 扫描这个镜像。

示例代码:

name: CI

on:
  push:
    branches: [ main ]

jobs:
  build-and-scan:
    runs-on: ubuntu-latest
    steps:
    - name: Check out repository code
      uses: actions/checkout@v2

    - name: Set up Docker Buildx
      uses: docker/setup-buildx-action@v1

    - name: Build Docker image
      run: docker build -t my-app:latest .

    - name: Run Trivy vulnerability scanner
      uses: aquasecurity/trivy-action@master
      with:
        image-ref: 'my-app:latest'
        format: 'table'
        exit-code: '1'
        ignore-unfixed: true

在这个 GitHub Actions 工作流中，首先会检出代码，然后使用 Docker Buildx 构建 Docker 镜像。接着，使用 Trivy Action 扫描这个镜像。如果扫描出现问题，工作流将失败，避免潜在不安全的镜像部署到生产环境。

这样的自动化集成确保了所有新代码提交都会经过安全检查，提高了整体的应用安全水平。