2024年最全使用 Trivy 扫描 Docker 镜像漏洞_docker镜像扫描工具(2),膜拜大佬

最新推荐文章于 2024-07-28 22:17:49 发布
最新推荐文章于 2024-07-28 22:17:49 发布
阅读量295 收藏 4
点赞数 3
文章标签: go 学习 面试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84925929/article/details/138886108
版权

img
img

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化的资料的朋友,可以添加戳这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

扫描结果显示,镜像中没有高漏洞或严重漏洞。

此外,它还显示了 Docker 镜像中 jar 的2 个高漏洞

Trivy 可以以多种方式使用。以下是一些高级用法示例:

扫描严重性

Trivy 可以扫描特定严重性的漏洞。为此,请使用该标志指定需要扫描的漏洞严重性。--severity <severity>

trivy image --severity CRITICAL techiescamp/pet-clinic-app:1.0.0
Docker 镜像生成管道中的 Trivy 扫描

Trivy 在 docker 镜像构建方面在 CI/CD pipline中起着关键作用。组织使用 trivy 来扫描 CI/CD pipline 中的漏洞,以确保在生产环境中部署 seecure 镜像。

在 CI/CD 拼接线中使用时,如果镜像中存在任何漏洞,pipline job应失败。严重性取决于组织的安全合规性。例如,某些组织可能有严格的准则,以使 HIGH 和 CRITICAL 严重性生成失败。

现在,使构建失败的最佳方法是使用退出代码。

为此,请使用带有 trivy 命令的 and 标志,如下所示。如果发现给定严重性的任何漏洞,它将使用 Trivy 退出代码进行非零退出--severity``--exit-code 1

trivy image --severity HIGH,CRITICAL  --exit-code 1 techiescamp/pet-clinic-app:1.0.0

此外,还可以将漏洞报告作为生成失败通知发送给开发人员和 DevOps 工程师。

推荐的方法是使用 Trivy 配置文件来设置扫描的默认值。您可以使用此文件来满足特定于项目需求的扫描要求。

下面是一个文件示例trivy.yaml

timeout: 10m
format: json
dependency-tree: true
list-all-pkgs: true
exit-code: 1
output: result.json
severity:
  - HIGH
  - CRITICAL
scan:
  skip-dirs:
    - /lib64
    - /lib
    - /usr/lib
    - /usr/include

  security-checks:
    - vuln
    - secret
vulnerability:
  type:
    - os
    - library
  ignore-unfixed: true
db:
  skip-update: false

以下是使用配置文件的语法

trivy image --config path/to/trivy.yaml your-image-name:tag
以 JSON 格式输出

Trivy 还可以以 JSON 格式提供输出。为此,请使用标志,它将以 JSON 格式显示扫描结果。--format json

trivy image --format json techiescamp/pet-clinic-app:1.0.0
忽略已修复的漏洞

有些漏洞即使更新了软件包(未修补/未修复)也无法修复。Trivy 可以扫描镜像,忽略这些漏洞。为此,请使用标志。--ignore-unfixed

trivy image --ignore-unfixed java:0.1
扫描 Docker tar 镜像

在某些情况下,您可能拥有 tar 格式的 Docker 镜像。在这种情况下,您可以使用琐碎以 tar 格式扫描镜像。

例如



![img](https://img-blog.csdnimg.cn/img_convert/fcb8c29a0d4dd1ed0cb7ec0f1c56e26e.png)
![img](https://img-blog.csdnimg.cn/img_convert/611eecc6c0009c9ae498bff5d63deebb.png)

**网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。**

**[需要这份系统化的资料的朋友,可以添加戳这里获取](https://bbs.csdn.net/topics/618658159)**


**一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**

料的朋友,可以添加戳这里获取](https://bbs.csdn.net/topics/618658159)**


**一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**
2401_84925929
关注
Docker (二):镜像、容器导入导出与私有仓库搭建
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
08-17 5万+
🟢 Docker (二):镜像、容器导入导出与私有仓库搭建
【微服务】springboot 构建docker镜像多模式使用详解
congge
05-26 4593
springboot 构建镜像多种模式使用详解
镜像漏洞扫描-Trivy
云原生运维
12-25 1456
Trivy 概述 Trivytri 发音为 trigger,vy 发音为 envy)是一个简单而全面的漏洞/错误配置扫描器,用于容器和其他工件。 软件漏洞是软件或操作系统中存在的故障、缺陷或弱点。 Trivy 检测操作系统包(Alpine、RHEL、CentOS 等)和特定语言包(Bundler、Composer、npm、yarn 等)的漏洞。 此外,Trivy扫描基础设施即代码 (IaC) 文件,例如 Terraform 和 Kubernetes,以检测使您的部署面临攻击风险的潜在配置问题。 Tri
使用 Trivy 扫描 Docker 镜像漏洞
一览无遗
01-29 1230
本博客介绍了使用 Trivy 扫描程序保护 Docker 镜像免受潜在漏洞影响的基本步骤。是一个开源工具,可用于扫描 Docker 镜像以查找漏洞Docker 镜像是打包和部署应用程序的简单方法。但是,如果它们包含漏洞,它们也可能存在安全风险。它可能是库中的问题、应用程序依赖项中的漏洞、容器配置错误等。Trivy 是一种有效的 Docker 漏洞扫描程序,支持多个漏洞数据库,包括常见漏洞和暴露 (。Trivy 还可以扫描错误的配置和机密。
harbor系列之7:镜像漏洞扫描
最新发布
lldhsds的专栏
07-28 556
Harbor 默认通过开源项目(Harbor 2.0.0 及之后版本)或(Habor v2.2.0 版本之后从默认中删除)提供镜像漏洞的静态分析。在harbor中可以对特定镜像或 Harbor 中的所有镜像手动启动扫描。也可以设置策略,使系统定期自动扫描所有镜像。说明:本文中harbor使用的截图以 Harbor v2.11.0 为例,具体操作以实际环境版本为准。
漏洞扫描工具有哪些_5.4k Star!简单又全面的容器漏洞扫描工具Trivy
weixin_39719585的博客
12-05 218
【导语】:Trivy是一个面向容器和其他组件的,兼具综合性和简洁性的脆弱性扫面器。简介软件的脆弱性是存在于软件或者操作系统中的缺陷。Trivytri发音像trigger, vy发音像envy,主要用来探测操作系统(Alpine, RHEL, CentOS等)和应用依赖(Bundler, Composer, npm, yarn等)的脆弱性,简单易用。 只需要安装二进制文件,就能开始使用,你需要做的...
Docker镜像安全扫描工具
weixin_46931022的博客
06-30 1220
镜像是容器的最基础的载体,docker是流行的runtime,其最大的贡献就是把镜像作为容器应用的标准交付方式,镜像包含了容器运行的所有基础文件,可以说镜像的安全决定了容器的安全。--skip-java-db-update 同样java 的漏洞库,每周四凌晨自动更新,也是存在github上,以使用–skip-java-db-update 跳过这一过程。--severity CRITICAL , 指定扫描的严重程度,分为,CRITICAL[紧急],HIGH[高的],MEDIUM[中等],LOW[低的]
容器镜像安全扫描Trivy
Innocence_0的博客
02-19 1487
容器镜像安全扫描Trivy
Docker镜像安全扫描工具clair与clairctl
阳阳的博客
08-12 1万+
clair是什么? clair是一个开源项目,用于静态分析appc和docker容器中的漏洞漏洞元数据从一组已知的源连续导入,并与容器映像的索引内容相关联,以生成威胁容器的漏洞列表。 clair版本选择 clair选择2.0.1版本 clair安装过程 docker方式 1.clair将漏洞元数据存储在Postgres中,先拉取postgres:9.6 docker pull ...
docker 镜像漏洞扫描_扫描您的Docker映像中的漏洞
weixin_26737679的博客
09-14 2291
docker 镜像漏洞扫描So you’ve crafted a Dockerfile, tested your container in your development workstation, and you’re waiting for the CI/CD to pick it up. Eventually, pre-prod is updated, integration tests p...
Docker(四):容器数据卷与Dockerfile构建镜像(发布)
热门推荐
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
08-30 4万+
🟢 Docker(四):容器数据卷与Dockerfile构建镜像(发布)
harbor-scanner:一个免费的镜像漏洞扫描工具, 可以扫描镜像中已安装软件包的漏洞,支持中文漏洞库,可与 Harbor 无缝集成
05-16
Harbor-Scanner 一个免费的镜像漏洞扫描工具, 可以扫描镜像中已安装软件包的漏洞,支持中文漏洞库,可与 无缝集成。 Dosec 的商业客户可以使用企业版扫描功能,例如扫描开源框架中的漏洞以及扫描容器镜像中包含的敏感数据。同时企业版增加了WEB UI, 提供仪表板,资产管理,用户管理,镜像漏洞修复建议, 安全和策略评估报告,容器运行时防护,Docker 和 Kubernetes 合规检查以及其他功能和模块。 特点 漏洞扫描快速准确,支持CVE和CNNVD双漏洞编号,漏洞中文描述信息 自动更新漏洞库(在配置中开启自动更新参数) 快速部署使用,最新的发布版中已包含最近日期之前的全量漏洞库,安装完成即可立即扫描出结果 安装 推荐将 Harbor-Scanner 和 Harbor 镜像仓库部署在同一台服务器。 下载 Harbor-Scanner 的离线安装包并解压 wget https
【Jenkins+Docker】持续集成与交付 (十九):使用Jenkins自动化从GitLab拉取项目源码,本地构建并发布Docker镜像
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
05-06 1万+
🟣【Jenkins+Docker】持续集成与交付 (十九):使用Jenkins自动化从GitLab拉取项目源码,本地构建并发布Docker镜像
容器镜像安全漏洞扫描-Trivy
因上努力,果上随缘。但行好事,莫问前程。
10-19 628
Trivytri 发音为 trigger,vy 发音为 envy)是一个简单而全面的漏洞/错误配置扫描器,用于容器和其他工件。软件漏洞是软件或操作系统中存在的故障、缺陷或弱点。Trivy 检测操作系统包(Alpine、RHEL、CentOS 等)和特定语言包(Bundler、Composer、npm、yarn 等)的漏洞。此外,Trivy扫描基础设施即代码 (IaC) 文件,例如 Terraform 和 Kubernetes,以检测使您的部署面临攻击风险的潜在配置问题。Trivy 易于使用
容器镜像安全漏洞扫描工具Trivy
俞兆鹏的博客
06-09 7343
最近做镜像分析扫描工作,需要扫描镜像的安全漏洞,评估镜像安全性,调研了几款漏洞扫描工具,最后决定使用Trivy工具Trivy是一家以色列安全公司开源的一个漏洞扫描工具,支持容器镜像、虚机镜像、文件系统的安全扫描
镜像漏洞扫描工具
qq_36270681的博客
01-22 4668
Trivy:是一种用于容器镜像、文件系统、Git仓库的漏洞扫描工具。发现目标软件存在的漏洞Trivy易于使用,只需安装二进制文件即可进行扫描,方便集成CI系统。 项目地址:https://github.com/aquasecurity/trivy 镜像扫描 trivy image -s HIGH, CRITICAL nginx # JSON格式输出并保存到文件 trivy image nginx -f json -o /root/output.json kubesec:是一个针对K
TrivyDocker镜像安全扫描神器-Trivy(原创)
cnskylee的博客
02-08 1211
Trivy下载地址: https://github.com/aquasecurity/trivy/releases/tag/v0.15.0 Linux(x86_64): 扫描Docker镜像 # trivy [docker image name:version] 扫描Docker镜像导出(docker save -o xxx.tar xxx:v1.0)的文件 # trivy --input docker image.tar 扫描部分截图(扫描结果中并没有给出漏洞修复的版本号): .
【质量】镜像漏洞扫描工具Trivy原理和操作
bandaoyu的note
08-22 3673
Trivy 有对 CI 友好的特点,并且官方也以这种方式使用它,想要集成 CI 只需要一段简单的 Yml 配置文件即可,如果发现漏洞,测试将失败。由于在自动化场景(如CI/CD)中,您只对最终结果感兴趣,而不是对完整的报告感兴趣,因此请使用 –light 标志对此场景进行优化,以获得快速的结果。在下面的示例中,仅当发现关键漏洞时,测试才会失败。漏洞扫描工具扫描镜像内的组件/库的包的版本,然后再去官方数据库检索,查看当前镜像内的组件/库的版本有没有官方记录的漏洞,发现有就列出漏洞列表(cve id列表)。
docker镜像漏洞扫描机制
06-13
Docker镜像漏洞扫描机制主要是通过扫描镜像中的软件包和组件,来发现其中可能存在的漏洞。常见的Docker镜像漏洞扫描工具包括: 1. Clair: 由CoreOS开发的开源漏洞扫描器,支持多个镜像仓库。 2. Anchore: 另一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值