【送书活动第1期】2024最新!依赖扫描神器Trivy的详细使用教程(Jar Maven docker images镜像)(文末送书)_安装trivy(2)

最新推荐文章于 2024-06-09 13:52:47 发布
最新推荐文章于 2024-06-09 13:52:47 发布
阅读量1k 收藏 29
点赞数 22
分类专栏: 程序员 文章标签: jar maven docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84969426/article/details/138812502
版权

提示:以下是本篇文章正文内容,下面案例可供参考

一、Trivy的安装

官网链接🔗:
https://github.com/aquasecurity/trivy

Trivy是一款全面的多功能安全扫描器。Trivy 可以查找安全问题,并能在发现问题的地方锁定目标。现在是北京时间2024年4月22日,Trivy已经更新到v0.50版本了,下面是官方的参考文档:
https://aquasecurity.github.io/trivy/v0.50/

在这里插入图片描述

选择适合自己系统的版本下载即可。下载完后解压:
在这里插入图片描述

./trivy --version

在这里插入图片描述

能成功运行,说明安装成功,可以开始使用它了!

二、常规代码项目扫描

maven编译java项目:

apache-maven-3.9.2/bin/mvn -gs /Users/xxxx/apache-maven-3.9.2/settings.xml clean install -Dmaven.test.skip -Dmaven.repo.local=/Users/xxxx/.m2/repository

2.1 输出为txt格式的报告

txt格式

./trivy fs {repo_path}  -o {output_file} --skip-db-update --skip-dirs "\*\*/code-generator" --dependency-tree --offline-scan --timeout 999m

扫描结果打开后如下:
在这里插入图片描述

2.2 输出为json格式的报告

json格式

./trivy fs {repo_path} --format json -o {output_file} --skip-db-update --skip-dirs "\*\*/code-generator" --offline-scan --timeout 999m

2.3 常用参数详解

  1. fs 参数:常规扫描代码项目,fs参数后面指定代码项目的路径
  2. format 参数:输出结果的文本格式
  3. -o 参数:输出扫描结果的保存路径
  4. –skip-db-update 参数:拒绝自动更新trivy数据库。
    (因为trivy的数据库只支持3天的缓存,3天后则需要自动更新,有时候电脑没开🪜会可能导致下载速度非常缓慢,所以为了节省时间,可以添加这个参数,跳过数据库的更新,但是一般情况下建议都不要加这个参数,让它自动更新数据库)
  5. –skip-dirs 参数:需要忽略扫描的文件夹。
    (如果需要忽略多个文件夹,则用英文的,逗号隔开,在后面依次添加文件夹的路径即可,支持使用**/的方式来模糊匹配)
  6. –offline-scan 参数:离线扫描。
    (也就是说Trivy只检测本地依赖,如果不加这个参数,Trivy 会为每个依赖项向 Maven 资源库寻址,如果网络连接速度较低,这会大大增加运行时间。但需要注意的是,在使用 --offline-scan 参数时,可能会跳过某些依赖项)
  7. –timeout 参数:超时时间。假如超过这个时间,则Trivy自动停止运行并报错超时。
  8. –dependency-tree 参数:依赖树打印。Trivy最牛的参数!!!!!!!
    可以把依赖树的传递性关系打印出来,方便我们查看哪个依赖是由哪个依赖嵌套,大大提高时间成本。
  9. roofs 参数:扫描jar包。
  10. images参数:扫描docker镜像。

下面我用红色框起来的,就是依赖树的传递关系。
在这里插入图片描述

三、Jar包依赖扫描

先用mvn命令将java项目打包成jar包。

代码示例如下:

/root/tools/apache-maven-3.9.2//bin/mvn -gs /root/tools/apache-maven-3.9.2/settings.xml clean package -Dmaven.test.skip -Dmaven.repo.local=/root/.m2/repository

在这里插入图片描述

trivy扫描命令:

./trivy rootfs --skip-db-update --offline-scan  --dependency-tree --timeout 999m /root/code/xxxxxx-web.jar -o /root/code/trivy_扫描结果.txt

在这里插入图片描述

四、Docker images镜像依赖扫描

把文件导入到本地的docker环境:

docker load -i (tar文件或者镜像文件)

然后获得docker images的images id:

docker images

在这里插入图片描述

扫描命令:

./trivy  image imageid -o docker扫描结果.txt --timeout 9999m

或者:

./trivy  image REPOSITORY:TAG -o docker扫描结果.txt --timeout 9999m

五、本期送书《Frida Android SO逆向深入实践》

在这里插入图片描述

如果对安卓逆向感兴趣的朋友,这本书很不错!推荐大家阅读。

《Frida Android SO逆向深入实践》主要介绍使用Frida辅助分析SO进行逆向工程项目开发。按照由易到难、由浅入深的方式进行讲解,适合Native层的初、中级读者阅读。

本书作者

陈佳林,看雪论坛版主,看雪讲师,在移动安全领域经验丰富,多次主持银行、电信、政府及行业部门培训并参与安全研究项目。在看雪安全开发者峰会、GeekPwn发表主题演讲。在看雪、安全客、Freebuf发表大量技术文章,目前就职于看雪科技,负责移动应用安全研究,看雪《安卓高级研修班》负责人,著有《安卓Frida逆向与抓包实战》、《安卓Frida逆向与协议分析》

如何领书

————————————————
⚠️:两种送书方式可以重复叠加获奖🏆

方式一 博客送书
本篇文章送书 🔥1本 评论区抽1位小伙伴送书
📆 活动时间:截止到 2024-04-25 00:00:00
🎁 抽奖方式:利用网络公开的在线抽奖工具进行抽奖

最后

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

img

img

img

img

img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

2401_84969426
关注
  • 22
    点赞
  • 29
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
云原生|kubernetes|安全漏扫神器trivy的部署和使用
zsk_john的技术分享专用博客
01-05 3831
由此,我们可以得出一个结论: kubernetes集群的部署使用kubeadm是没什么问题的,但etcd,flannel。kube-proxy这些组件最好还是二进制部署。
【质量】镜像漏洞扫描工具Trivy原理和操作
bandaoyu的note
08-22 3594
Trivy 有对 CI 友好的特点,并且官方也以这种方式使用它,想要集成 CI 只需要一段简单的 Yml 配置文件即可,如果发现漏洞,测试将失败。由于在自动化场景(如CI/CD)中,您只对最终结果感兴趣,而不是对完整的报告感兴趣,因此请使用 –light 标志对此场景进行优化,以获得快速的结果。在下面的示例中,仅当发现关键漏洞时,测试才会失败。漏洞扫描工具扫描镜像内的组件/库的包的版本,然后再去官方数据库检索,查看当前镜像内的组件/库的版本有没有官方记录的漏洞,发现有就列出漏洞列表(cve id列表)。
trivy安装
最新发布
2402_84765445的博客
06-09 174
现在,您可以在终端中使用Trivy扫描容器镜像或本地文件系统中的漏洞。例如,要扫描一个名为。Trivy将分析该镜像并报告其中的漏洞。如果成功安装,您将看到Trivy的版本信息。希望这可以帮助您安装和开始使用Trivy!这将仅报告高严重性的漏洞。
Java项目代码依赖包安全漏洞检测插件Dependency Check
QC班长的博客
01-11 1万+
最近在搞Java的后端项目,需要更新jar依赖包,找到了一个jar包漏洞检测的插件Dependency Check。 Dependency-Check是OWASP(Open WebApplication Security Project)的一个实用开源程序,用于识别项目依赖项并检查是否存在任何已知的,公开披露的漏洞。目前,已支持Java、.NET、Ruby、Node.js、Python等语言编写的程序,并为C/C++构建系统(autoconf和cmake)提供了有限的支持。官网地址:OWASP Depen
docker】harbor-trivy镜像扫描工具安装部署(离线漏洞库)
西原一点红的博客
08-22 1848
漏洞库下载trivy v1版本和V2版本漏洞库下载地址不一样。
【Java】包扫描工具(含jar包)
chan272的博客
02-14 623
 包扫描工具:   1.普通包扫描:   // 需要包的路径和包名称 private void packageScanner(String packagePath, String packageName) { // 通过包路径得到当前文件 File currentFile = new File(packagePath); if(!currentFile.exists...
详解Maven Docker镜像使用技巧
08-27
主要介绍了详解Maven Docker镜像使用技巧,Maven是目前最流行的Java项目管理工具之一,提供了强大的包依赖管理和应用构建功能。本文以Maven为例介绍了Docker在应用构建中的一些常见技巧。
IDEA对使用了第三方依赖jar包的非Maven项目打jar包的问题(图文详解)
08-18
本文主要介绍了IDEA对使用了第三方依赖jar包的非Maven项目打jar包的问题,通过详细的图文详解,帮助大家更好地理解和解决这个问题。 知识点1:IDEA打jar包的基本概念 在IDEA中,打jar包是将项目编译后的class文件...
Docker使用 Maven 插件构建镜像的方法
08-28
本篇文章主要介绍了Docker使用 Maven 插件构建镜像的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
使用Maven插件构建Docker镜像
04-10
详细 介绍 了如何使用Maven插件构建Docker镜像的步骤。
导出maven项目依赖jar包(图文教程)
08-29
Maven 项目依赖 jar 包导出详细教程 Maven 是一个Project Object Model(POM)项目管理工具,广泛应用于 Java 项目中。其中一个非常重要的功能是管理项目依赖关系。下面我们将详细介绍如何将 Maven 项目依赖jar ...
容器扫描TrivyTrivy-db数据库研究
博客地址 www.sec0nd.top
01-11 853
Trivy是一个镜像容器扫描工具,用于扫描漏洞和配置错误。本文主要对trivy-db数据库进行了研究和分析,并编写代码读取数据库的内容。
【Java】包扫描Jar扫描工具
funyoo的博客
10-03 2836
为什么要用到包扫描?           包扫描一般用作于扫描出该包内所有带有某注解的类,并对之进行处理          包扫描可分为普通包扫描Jar扫描扫描工具代码: 1.普通包扫描 // 给定包名及当前文件currentfile private void scanPackage(String packageName, File currentfile) {...
如何对jar包进行安全扫呢,用dependency-check工具吧
weixin_43554548的博客
09-06 1547
dependency-check
trivy 源码分析(扫描镜像中的漏洞信息)
huzai9527的博客
07-20 1843
把总结放在开头,能让我们看源码的时候有掌控全局的感觉。扫描逻辑其实很简单的,首先需要获取镜像中的各种资产信息(OSPackage等)然后需要根据(镜像的OS信息+pkg信息)查询相关的待选CVE然后在匹配当前的pkg的版本号,是不是CVE中fixed的版本号,如果不是就记录该CVE如果想要魔改或者抽取,建议直接看,从image获取pkg信息以及根据OS以及pkg查询CVE这两个函数如果就想知道扫描流程,看到这就已经够了。...
Docker镜像安全扫描步骤添加到CI/CD管道
DevOps持续集成的博客
11-17 935
使用GitlabCI和Trivy介绍 如今,镜像安全扫描变得越来越流行。这个想法是分析一个Docker镜像并基于CVE数据库寻找漏洞。这样,我们可以在使用镜像之前知道其包含哪些漏洞,因此...
Docker入门(二)
midnight_DJ的博客
11-16 620
docker镜像
Docker(二)常用命令
热门推荐
fox_bert的博客
04-07 1万+
一、帮助命令 docker version docker info docker 命令 --help 帮助文档的地址:Reference documentation | Docker Documentation 二、镜像命令 1、images(查看本地镜像) 查看所有本地的主机上的镜像 docker images [OPTIONS] [REPOSITORY[:TAG]] docker images -a 所有镜像 docker iamges -q 所有镜像ID docker.
Idea使用指南
张凡的博客
09-08 1277
安装:只选一个X64,其余一路next 使用:
使用本地maven推送第三方jar包到远程仓库, 第三方jar包还依赖其他maven库, 怎么推送
06-09
要推送第三方jar包到远程仓库,可以使用Maven的命令行工具或者在Maven项目中配置插件来完成。具体步骤如下: 1. 编写一个POM文件,定义你的第三方jar包及其依赖的其他Maven库。 2. 在本地安装第三方jar包和它的依赖库到本地Maven仓库,可以使用以下命令: ``` mvn install:install-file -Dfile=<path-to-your-jar-file> -DgroupId=<group-id> -DartifactId=<artifact-id> -Dversion=<version> -Dpackaging=jar ``` 其中,`<path-to-your-jar-file>`是你的第三方jar包的路径,`<group-id>`、`<artifact-id>`和`<version>`分别是你的第三方jar包的Maven坐标。 3. 配置Maven插件,将第三方jar包和依赖库推送到远程仓库。可以使用以下命令: ``` mvn deploy:deploy-file -DgroupId=<group-id> -DartifactId=<artifact-id> -Dversion=<version> -Dpackaging=jar -Dfile=<path-to-your-jar-file> -DrepositoryId=<repository-id> -Durl=<repository-url> ``` 其中,`<repository-id>`是你的远程仓库ID,`<repository-url>`是你的远程仓库URL。 4. 确认第三方jar包和依赖库已经推送到了远程仓库。 注意:在推送第三方jar包到远程仓库之前,你需要先在远程仓库中添加你的Maven仓库信息,并且你需要有推送权限才能推送到远程仓库。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值