使用 Trivy 扫描 Docker 镜像漏洞_docker镜像扫描工具,2024年最新90%的人看完都说好

于 2024-04-19 00:58:21 发布
阅读量1k 收藏 30
点赞数 11
分类专栏: 2024年程序员学习 文章标签: docker 容器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84300070/article/details/137943343
版权

先自我介绍一下,小编浙江大学毕业,去过华为、字节跳动等大厂,目前阿里P7

深知大多数程序员,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年最新Golang全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
img
img
img
img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上Go语言开发知识点,真正体系化!

由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新

如果你需要这些资料,可以添加V获取:vip1024b (备注go)
img

正文

现在,使构建失败的最佳方法是使用退出代码。

为此,请使用带有 trivy 命令的 and 标志,如下所示。如果发现给定严重性的任何漏洞,它将使用 Trivy 退出代码进行非零退出--severity``--exit-code 1

trivy image --severity HIGH,CRITICAL --exit-code 1 techiescamp/pet-clinic-app:1.0.0

此外,还可以将漏洞报告作为生成失败通知发送给开发人员和 DevOps 工程师。

推荐的方法是使用 Trivy 配置文件来设置扫描的默认值。您可以使用此文件来满足特定于项目需求的扫描要求。

下面是一个文件示例trivy.yaml

timeout: 10m
format: json
dependency-tree: true
list-all-pkgs: true
exit-code: 1
output: result.json
severity:

  • HIGH
  • CRITICAL
    scan:
    skip-dirs:
  • /lib64
  • /lib
  • /usr/lib
  • /usr/include

security-checks:

  • vuln
  • secret
    vulnerability:
    type:
  • os
  • library
    ignore-unfixed: true
    db:
    skip-update: false

以下是使用配置文件的语法

trivy image --config path/to/trivy.yaml your-image-name:tag

以 JSON 格式输出

Trivy 还可以以 JSON 格式提供输出。为此,请使用标志,它将以 JSON 格式显示扫描结果。--format json

trivy image --format json techiescamp/pet-clinic-app:1.0.0

忽略已修复的漏洞

有些漏洞即使更新了软件包(未修补/未修复)也无法修复。Trivy 可以扫描镜像,忽略这些漏洞。为此,请使用标志。--ignore-unfixed

trivy image --ignore-unfixed java:0.1

扫描 Docker tar 镜像

在某些情况下,您可能拥有 tar 格式的 Docker 镜像。在这种情况下,您可以使用琐碎以 tar 格式扫描镜像。

例如

trivy image --input petclinic-app.tar

Trivy 在 Docker 镜像中扫描什么

以下是 Trivy 扫描的 Docker 镜像中的关键元素。

  1. **Trivy 可以扫描各种包管理器中的漏洞,包括 apt、yum、apk 和 npm。**这意味着 Trivy 可以扫描使用各种不同软件依赖项的镜像中的漏洞。
  2. Trivy 可以扫描 Linux 和 Windows 镜像**中的漏洞。**这意味着您可以使用 Trivy 扫描将在 Linux 或 Windows 主机上运行的镜像。
  3. Trivy 可以扫描以各种不同格式存储的镜像中的漏洞,包括 Docker 镜像**、tar 存档和文件系统。**这意味着您可以使用 Trivy 扫描存储在各种不同位置的镜像。
  4. **Trivy 可以扫描在各种环境中运行的 Docker 镜像中的漏洞,包括普通 Docker 容器和 Kubernetes Pod。**这意味着您可以使用 Trivy 扫描在您使用的任何环境中运行的镜像。

使用 Trivy 进行 Docker 镜像漏洞扫描的好处

下图显示了 CVE 数据库中的漏洞总数。正如你所看到的,它每年都在增加。

考虑到漏洞的增加,使用 Trivy 扫描 Docker 镜像有很多好处。

一些好处包括:

  1. **识别漏洞:**Trivy 可以识别 Docker 镜像中使用的包中的漏洞。这在基础镜像修补和应用程序镜像生成中特别有用。
  2. **改善安全态势:**通过扫描镜像中的漏洞,可以改善组织的安全状况。
  3. **安全合规:**作为安全合规性的一部分,许多组织需要检查其 Docker 镜像是否存在漏洞。您可以在 Trivy 的帮助下达到这些标准。

结论

Docker 镜像漏洞扫描在开发期间以及 CI/CD 过程中是必须的。这可确保遵循良好的 DevSecOps 原则并实施最佳实践,以在基于 Docker 的环境中保持强大的安全性。

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化的资料的朋友,可以添加V获取:vip1024b (备注Go)
img

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
添加V获取:vip1024b (备注Go)**
[外链图片转存中…(img-2UCZfG0t-1713459490074)]

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

2401_84300070
关注
  • 11
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用 Trivy 扫描 Docker 镜像漏洞
一览无遗
01-29 1049
本博客介绍了使用 Trivy 扫描程序保护 Docker 镜像免受潜在漏洞影响的基本步骤。是一个开源工具,可用于扫描 Docker 镜像以查找漏洞Docker 镜像是打包和部署应用程序的简单方法。但是,如果它们包含漏洞,它们也可能存在安全风险。它可能是库中的问题、应用程序依赖项中的漏洞容器配置错误等。Trivy 是一种有效的 Docker 漏洞扫描程序,支持多个漏洞数据库,包括常见漏洞和暴露 (。Trivy 还可以扫描错误的配置和机密。
harbor-scanner:一个免费的镜像漏洞扫描工具, 可以扫描镜像中已安装软件包的漏洞,支持中文漏洞库,可与 Harbor 无缝集成
05-16
Harbor-Scanner 一个免费的镜像漏洞扫描工具, 可以扫描镜像中已安装软件包的漏洞,支持中文漏洞库,可与 无缝集成。 Dosec 的商业客户可以使用企业版扫描功能,例如扫描开源框架中的漏洞以及扫描容器镜像中包含的敏感数据。同时企业版增加了WEB UI, 提供仪表板,资产管理,用户管理,镜像漏洞修复建议, 安全和策略评估报告,容器运行时防护,Docker 和 Kubernetes 合规检查以及其他功能和模块。 特点 漏洞扫描快速准确,支持CVE和CNNVD双漏洞编号,漏洞中文描述信息 自动更新漏洞库(在配置中开启自动更新参数) 快速部署使用最新的发布版中已包含最近日期之前的全量漏洞库,安装成即可立即扫描出结果 安装 推荐将 Harbor-Scanner 和 Harbor 镜像仓库部署在同一台服务器。 下载 Harbor-Scanner 的离线安装包并解压 wget https
Docker镜像安全扫描工具clair与clairctl
阳阳的博客
08-12 9808
clair是什么? clair是一个开源项目,用于静态分析appc和docker容器中的漏洞漏洞元数据从一组已知的源连续导入,并与容器映像的索引内容相关联,以生成威胁容器漏洞列表。 clair版本选择 clair选择2.0.1版本 clair安装过程 docker方式 1.clair将漏洞元数据存储在Postgres中,先拉取postgres:9.6 docker pull ...
镜像扫描
BJUT_bluecat的博客
06-04 405
https://blog.csdn.net/liumiaocn/article/details/81813707集成clair https://www.jianshu.com/p/447e22ce947c使用clair扫描Docker镜像漏洞 https://www.freebuf.com/column/157784.htmlDocker镜像扫描器的实现 https://blog.csdn....
镜像安全扫描工具
最新发布
11-07 291
镜像安全扫描是确保云原生环境安全非常重要和基础的一个环节,通过镜像安全扫描可以检测容器镜像中的漏洞,避免攻击者植入恶意代码,快速响应漏洞,从而降低安全风险。本文分享两个比较常用的镜像安全扫描工具,它们可以帮助我们识别容器镜像中的漏洞和弱点。1、TrivyTrivy是一个全面的多功能安全扫描器,支持在容器镜像、Kubernetes、代码存储库、AWS中查找漏洞、错误配置、敏感信息和密钥、SBOM等。...
镜像漏洞扫描工具
qq_36270681的博客
01-22 4624
Trivy:是一种用于容器镜像、文件系统、Git仓库的漏洞扫描工具。发现目标软件存在的漏洞Trivy易于使用,只需安装二进制文件即可进行扫描,方便集成CI系统。 项目地址:https://github.com/aquasecurity/trivy 镜像扫描 trivy image -s HIGH, CRITICAL nginx # JSON格式输出并保存到文件 trivy image nginx -f json -o /root/output.json kubesec:是一个针对K
如何把Docker镜像分发速度提升90+%
02-25
其中也包括了像机器学习模型训练这类任务,这类任务包含很多的子任务(可能数百甚至上千个),当部署这种包含很多容器的任务时,会同时从DockerRegistry拉取(Pull)镜像,这种高并发的拉取操作,很容易耗尽Docker...
nginxdocker镜像(nginx-upstream-check健康检查)
07-16
官方nginx 镜像不带主动健康,本镜像将 nginx_upstream_check健康检查 打包到了镜像中。
PyCharm使用Docker镜像搭建Python开发环境
12-23
在我们平时使用PyCharm的过程中,一般都是连接本地的Python环境进行开发,但是如果是离线的环境呢?这样就不好搭建Python开发环境,因为第三方模块的依赖复杂,不好通过离线安装包的方式安装。本文将介绍如何利用...
miniconda docker镜像
08-25
miniconda官方镜像,安装了cron ssh vim 启动方式 docker run -p 8822:22 -v /F/envs:/opt/conda/envs -v /F/IdeaProjects:/tmp/code -d -t -i miniconda:geovis /bin/bash
镜像漏洞扫描工具:Trivy
识途老码
06-27 685
打印指定(高危、严重)漏洞信息 JSON格式输出并保存到文件
Trivy 扫描方法
SHELLCODE_8BIT的博客
04-04 223
Cluster Scanning - Trivy (aquasecurity.github.io)./trivy k8s -n kube-system --skip-db-update --report=all all
OpenShift 4 - 镜像漏洞扫描软件 Clair
多恩斯基的博客
12-30 1090
《OpenShift 4.x HOL教程汇总》 说明:本文已经在OpenShift 4.9环境中验证 文章目录Clair 是什么?在 OpenShift 安装 Clair 环境安装 Clair 客户端使用 Clair 对容器镜像进行扫描参考 Clair 是什么? Clair 最早是 CoreOS 公司开发的一个容器镜像漏洞扫描工具,后来 CoreOS 被红帽收购,Clair 成为 Red Hat 主导的容器镜像安全漏洞扫描的开源软件 。 作为一款开源软件,Clair 即可单独运行,也可集成到其他软件中运行。
容器镜像安全漏洞扫描工具Trivy
俞兆鹏的博客
06-09 7278
最近做镜像分析扫描工作,需要扫描镜像的安全漏洞,评估镜像安全性,调研了几款漏洞扫描工具,最后决定使用Trivy工具Trivy是一家以色列安全公司开源的一个漏洞扫描工具,支持容器镜像、虚机镜像、文件系统的安全扫描
OpenShift 4 - 使用 Trivy Operator 对项目中的镜像进行安全扫描
多恩斯基的博客
01-09 3830
《OpenShift 4.x HOL教程汇总》 说明:本文已经在OpenShift 4.9环境中验证 使用默认配置安装 Trivy Operator,然后创建一个 “NamespaceScanner” 实例。 apiVersion: trivy-operator.devopstales.io/v1 kind: NamespaceScanner metadata: name: trivy-operator-main-config namespace: openshift-operators spe
扫描docker安装的工具_Terrier:一款功能强大的镜像&容器安全分析工具
weixin_29375669的博客
12-29 191
Terrier是一款针对OCI镜像容器的安全分析工具,Terrier可以帮助研究人员扫描OCI镜像容器文件,并根据哈希来识别和验证特定文件是否存在。工具安装源代码:如需了解源代码安装步骤,请参考项目的Releases页面。通过Go安装:$ go get github.com/heroku/terrier源构建通过Go:$ go build或$ make all工具使用$ ./terr...
云原生安全镜像漏洞扫描工具Trivy使用指南
SHELLCODE_8BIT的博客
09-21 999
Trivy是一个简单而全面的扫描器,用于检测容器镜像、文件系统和Git存储库中的漏洞以及配置问题。Trivy检测操作系统包(Alpine、RHEL、CentOS 等)和特定编程语言包(Bundler、Composer、npm、yarn 等)的漏洞。此外,Trivy扫描基础设施即代码 (IaC) 文件,例如 Terraform、Dockerfile 和Kubernetes,从中发现部署中面临攻击风险和潜在配置问题的等。Trivy易于使用
如何检查 Docker 镜像是否存在漏洞
weixin_56863624的博客
03-27 805
定期检查管道中的漏洞非常重要。要执行的步骤之一是对 Docker 映像执行漏洞扫描。在本博客。
docker镜像漏洞扫描机制
06-13
Docker镜像漏洞扫描机制主要是通过扫描镜像中的软件包和组件,来发现其中可能存在的漏洞。常见的Docker镜像漏洞扫描工具包括: 1. Clair: 由CoreOS开发的开源漏洞扫描器,支持多个镜像仓库。 2. Anchore: 另一个开源漏洞扫描器,支持多个镜像仓库和自定义策略。 3. Trivy: 由Aqua Security开发的轻量级漏洞扫描器,支持多个镜像仓库和多种输出格式。 这些工具会对镜像中的软件包和组件进行扫描,并与已知的漏洞数据库进行比对,从而发现其中可能存在的漏洞。如果发现了漏洞,这些工具会向用户提供警告或建议的修复措施。在Docker镜像构建和部署过程中,使用这些工具可以帮助用户及时发现和修复镜像中的漏洞,提高应用程序的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值