使用 Trivy 扫描 Docker 镜像漏洞_docker镜像扫描工具

已于 2024-04-13 00:02:31 修改
阅读量900 收藏 27
点赞数 20
文章标签: docker 容器 运维
于 2024-04-13 00:02:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84264536/article/details/137698874
版权

trivy image

例如,我的工作站中有一个名为 techiescamp/pet-clinic-app 的镜像。它是一个带有java spring boot应用程序的docker镜像。

trivy image techiescamp/pet-clinic-app:1.0.0

扫描结果显示,镜像中没有高漏洞或严重漏洞。

此外,它还显示了 Docker 镜像中 jar 的2 个高漏洞

Trivy 可以以多种方式使用。以下是一些高级用法示例:

扫描严重性

Trivy 可以扫描特定严重性的漏洞。为此,请使用该标志指定需要扫描的漏洞严重性。--severity <severity>

trivy image --severity CRITICAL techiescamp/pet-clinic-app:1.0.0

Docker 镜像生成管道中的 Trivy 扫描

Trivy 在 docker 镜像构建方面在 CI/CD pipline中起着关键作用。组织使用 trivy 来扫描 CI/CD pipline 中的漏洞,以确保在生产环境中部署 seecure 镜像。

在 CI/CD 拼接线中使用时,如果镜像中存在任何漏洞,pipline job应失败。严重性取决于组织的安全合规性。例如,某些组织可能有严格的准则,以使 HIGH 和 CRITICAL 严重性生成失败。

现在,使构建失败的最佳方法是使用退出代码。

为此,请使用带有 trivy 命令的 and 标志,如下所示。如果发现给定严重性的任何漏洞,它将使用 Trivy 退出代码进行非零退出--severity``--exit-code 1

trivy image --severity HIGH,CRITICAL --exit-code 1 techiescamp/pet-clinic-app:1.0.0

此外,还可以将漏洞报告作为生成失败通知发送给开发人员和 DevOps 工程师。

推荐的方法是使用 Trivy 配置文件来设置扫描的默认值。您可以使用此文件来满足特定于项目需求的扫描要求。

下面是一个文件示例trivy.yaml

timeout: 10m
format: json
dependency-tree: true
list-all-pkgs: true
exit-code: 1
output: result.json
severity:

  • HIGH
  • CRITICAL
    scan:
    skip-dirs:
  • /lib64
  • /lib
  • /usr/lib
  • /usr/include

security-checks:

  • vuln
  • secret
    vulnerability:
    type:
  • os
  • library
    ignore-unfixed: true
    db:
    skip-update: false

以下是使用配置文件的语法

trivy image --config path/to/trivy.yaml your-image-name:tag

以 JSON 格式输出

Trivy 还可以以 JSON 格式提供输出。为此,请使用标志,它将以 JSON 格式显示扫描结果。--format json

trivy image --format json techiescamp/pet-clinic-app:1.0.0

忽略已修复的漏洞

有些漏洞即使更新了软件包(未修补/未修复)也无法修复。Trivy 可以扫描镜像,忽略这些漏洞。为此,请使用标志。--ignore-unfixed

trivy image --ignore-unfixed java:0.1

扫描 Docker tar 镜像

在某些情况下,您可能拥有 tar 格式的 Docker 镜像。在这种情况下,您可以使用琐碎以 tar 格式扫描镜像。

例如

trivy image --input petclinic-app.tar

Trivy 在 Docker 镜像中扫描什么

以下是 Trivy 扫描的 Docker 镜像中的关键元素。

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数Go语言工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则几千的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年Go语言全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
img
img
img
img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Golang知识点,真正体系化!

由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新

如果你觉得这些内容对你有帮助,可以添加V获取:vip1024b (备注Go)
img

一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

觉得这些内容对你有帮助,可以添加V获取:vip1024b (备注Go)**
[外链图片转存中…(img-4nFUrDGH-1712937733317)]

一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

2401_84264536
关注
容器镜像安全扫描Trivy
Innocence_0的博客
02-19 1570
容器镜像安全扫描Trivy
容器镜像安全漏洞扫描-Trivy
因上努力,果上随缘。但行好事,莫问前程。
10-19 648
Trivytri 发音为 trigger,vy 发音为 envy)是一个简单而全面的漏洞/错误配置扫描器,用于容器和其他工件。软件漏洞是软件或操作系统中存在的故障、缺陷或弱点。Trivy 检测操作系统包(Alpine、RHEL、CentOS 等)和特定语言包(Bundler、Composer、npm、yarn 等)的漏洞。此外,Trivy扫描基础设施即代码 (IaC) 文件,例如 Terraform 和 Kubernetes,以检测使您的部署面临攻击风险的潜在配置问题。Trivy 易于使用
使用 Trivy 扫描 Docker 镜像漏洞
一览无遗
01-29 1259
本博客介绍了使用 Trivy 扫描程序保护 Docker 镜像免受潜在漏洞影响的基本步骤。是一个开源工具,可用于扫描 Docker 镜像以查找漏洞Docker 镜像是打包和部署应用程序的简单方法。但是,如果它们包含漏洞,它们也可能存在安全风险。它可能是库中的问题、应用程序依赖项中的漏洞容器配置错误等。Trivy 是一种有效的 Docker 漏洞扫描程序,支持多个漏洞数据库,包括常见漏洞和暴露 (。Trivy 还可以扫描错误的配置和机密。
镜像漏洞扫描-Trivy
云原生运维
12-25 1468
Trivy 概述 Trivytri 发音为 trigger,vy 发音为 envy)是一个简单而全面的漏洞/错误配置扫描器,用于容器和其他工件。 软件漏洞是软件或操作系统中存在的故障、缺陷或弱点。 Trivy 检测操作系统包(Alpine、RHEL、CentOS 等)和特定语言包(Bundler、Composer、npm、yarn 等)的漏洞。 此外,Trivy扫描基础设施即代码 (IaC) 文件,例如 Terraform 和 Kubernetes,以检测使您的部署面临攻击风险的潜在配置问题。 Tri
【质量】镜像漏洞扫描工具Trivy原理和操作
小鱼菜鸟的博客
10-04 1255
目录 Trivy工作原理 cve ID和CVE数据库 Trivy扫描镜像流程 快速入门 Trivy工作原理 cve ID和CVE数据库 个人理解: 当有人发现漏洞时,在社区提交漏洞,然后被cve 官方数据库收录,分配cve id。 漏洞扫描工具扫描镜像内的组件/库的包的版本,然后再去官方数据库检索,当检索到当前镜像内的组件/库的版本 ...
使用 Trivy 扫描 Docker 镜像漏洞_docker镜像扫描工具,2024年最新90%的人看完都说好
2401_84300070的博客
04-19 1227
Docker 镜像漏洞扫描在开发期间以及 CI/CD 过程中是必须的。这可确保遵循良好的 DevSecOps 原则并实施最佳实践,以在基于 Docker 的环境中保持强大的安全性。为此,请使用带有 trivy 命令的 and 标志,如下所示。推荐的方法是使用 Trivy 配置文件来设置扫描的默认值。为此,请使用标志,它将以 JSON 格式显示扫描结果。考虑到漏洞的增加,使用 Trivy 扫描 Docker 镜像有很多好处。以下是 Trivy 扫描Docker 镜像中的关键元素。
2024年最新使用 Trivy 扫描 Docker 镜像漏洞_docker镜像扫描工具(3),2024年最新成长路线图
2401_84925044的博客
05-15 365
​首先,您需要在系统或要实现 Docker 镜像扫描的上安装 trivy。您可以在官方安装页面找到安装步骤。使用 Trivy 扫描 Docker 镜像非常简单。您只需要使用扫描镜像名称运行以下琐碎命令即可。例如,我的工作站中有一个名为 techiescamp/pet-clinic-app的镜像。它是一个带有java spring boot应用程序的docker镜像扫描结果显示,镜像中没有高漏洞或严重漏洞。​此外,它还显示了 Docker 镜像中 jar 的。​。
2024年最全使用 Trivy 扫描 Docker 镜像漏洞_docker镜像扫描工具(2),膜拜大佬
2401_84925929的博客
05-15 308
扫描结果显示,镜像中没有高漏洞或严重漏洞。​此外,它还显示了 Docker 镜像中 jar 的。​Trivy 可以以多种方式使用Trivy 可以扫描特定严重性的漏洞。为此,请使用该标志指定需要扫描漏洞严重性。
docker 镜像漏洞扫描_扫描您的Docker映像中的漏洞
weixin_26737679的博客
09-14 2301
docker 镜像漏洞扫描So you’ve crafted a Dockerfile, tested your container in your development workstation, and you’re waiting for the CI/CD to pick it up. Eventually, pre-prod is updated, integration tests p...
如何检查 Docker 镜像是否存在漏洞_docker1,这原因我服了
2401_83973995的博客
04-20 632
于是,我开始调查这个问题,最终发现是我的同事偷偷地在我的 Docker 镜像里面存放了牛奶。哈哈哈,这个笑话真冷!我有一个朋友,他是个 Docker 爱好者,喜欢用 Docker 镜像部署他的应用程序。这个镜像看起来非常棒,但是他没有想到,这个镜像中有一个安全漏洞,可以让黑客入侵他的网站。最终,他发现了一个叫做“Clair”的工具,它可以自动扫描 Docker 镜像中的漏洞,并生成报告。所以,如果你也想成为一名 Docker 镜像的专家,那么就一定要学会手动检查 Docker 镜像以确保它们没有安全问题。
Docker (二):镜像容器导入导出与私有仓库搭建
热门推荐
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
08-17 5万+
🟢 Docker (二):镜像容器导入导出与私有仓库搭建
如何检查 Docker 镜像是否存在漏洞
weixin_56863624的博客
03-27 889
定期检查管道中的漏洞非常重要。要执行的步骤之一是对 Docker 映像执行漏洞扫描。在本博客。
【微服务】springboot 构建docker镜像多模式使用详解
congge
05-26 4779
springboot 构建镜像多种模式使用详解
容器安全扫描工具推荐
IDEAL Garden
12-24 785
随着越来越多的应用程序被容器化,容器安全也随之变得越来越重要。在项目的流水线中, 我们可以使用漏洞扫描器进行扫描并提前获得反馈,实现 “安全左移” ,也可以更好的实践敏捷。
DockerDocker 容器使用指南:如何进入容器并运行命令
人生苦短,睡觉要紧,睡醒再说
10-01 1855
Docker 是一个开源的应用容器引擎,能轻松创建、部署和运行分布式应用。本文将介绍如何进入 Docker 容器并在其中运行命令,包括常用命令示例与说明。
Docker从入门到进阶】03.进阶应用
最新发布
10-03 1682
创建自定义网络这样创建的网络默认使用桥接模式。查看网络将容器连接到自定义网络连接现有容器到网络断开容器与网络的连接多服务配置Docker Compose 文件允许您通过 service 块定义多个服务。每个服务定义了一个 Docker 容器使用这些容器共同协作以完成一个复杂的应用。网络与卷管理支持定义自定义网络,方便应用内不同服务之间的通信。通过卷的使用实现数据的持久化和共享。在中可以明确声明各服务间的依赖关系。环境变量和配置管理可以在 Compose 文件中嵌入环境变量,或使用
Docker 的基本概念和优势
矿枝
10-02 298
Docker是一种开源的容器化平台,用于在不同环境下快速、可靠地构建、打包和部署应用程序。它通过将应用程序及其依赖项封装到一个可移植的容器中,实现了应用程序在不同系统上的一致运行。
docker进入正在运行的容器,exit后的比较
Jeuneke的博客
10-02 621
run运行进去容器,ctrl+p+q退出,容器不停止。如果加了-d,就守护式启动容器,exit的命令,容器是不会停止的。exec进的容器,exit或者是ctrl+d,容器不会停止.只是退出。docker run进去容器,exit退出,容器停止。
docker镜像漏洞扫描机制
06-13
Docker镜像漏洞扫描机制主要是通过扫描镜像中的软件包和组件,来发现其中可能存在的漏洞。...在Docker镜像构建和部署过程中,使用这些工具可以帮助用户及时发现和修复镜像中的漏洞,提高应用程序的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值