目录
1 概述
KeyarchOS是浪潮信息基于OpenAnolis开源操作系统自主研发的一款服务器操作系统,支持x86、ARM等主流架构处理器,性能和稳定性居于行业领先地位。浪潮信息云峦服务器操作系统KeyarchOS_KOS服务器操作系统-浪潮信息
trivy是一个开源的容器漏洞扫描工具,旨在帮助用户识别和修复容器镜像中的安全漏洞。它专注于扫描常见的开放源代码软件(如操作系统、库、应用程序等)的容器镜像,以发现其中可能存在的已知漏洞。
https://github.com/aquasecurity/trivy
2 安装前的准备
2.1 版本信息
- 系统版本:KeyarchOS 5.8 SP1
- 软件版本:trivy 0.44.0、docker
2.2 支持的架构
- x86_64
2.3 资源准备
- 4核8G Kos虚拟机
- trivy_0.44.0_Linux-64bit.rpm(下载链接:https://github.com/aquasecurity/trivy)
- docker
3 安装与实践
1、在trivy安装包目录下执行以下命令安装trivy包。
rpm -ivh trivy_0.44.0_Linux-64bit.rpm
安装完成后执行trivy –h查看版本号
2、安装docker,docker在默认KOS源中存在,可直接命令行安装。执行如下命令。
dnf install docker 启动docker守护进程
systemctl start docker.service systemctl enable docker.service 查看docker运行状态
3、docker下载最新版alpine镜像用于进行镜像扫描。(alpine是一个轻量级的Linux发行版,相比与CentOS,ubuntu体积小很多,大约只有5M左右,在很多场景下都会使用它来按需制作一些轻量级镜像。)
4、执行如下命令扫描alpine镜像。
trivy image --light alpine:latest
该命令中“image”指定执行容器镜像扫描操作。使用“—light”选项可以执行快速的漏洞扫描。这意味着 trivy 将只扫描常见和高危漏洞,而不会对所有漏洞进行全面扫描,使用“—light”选项可以提高扫描速度,但可能会错过一些低危或不常见的漏洞。该命令首先到ghcr.io/aquasecurity/trivy-db下载漏洞数据库,然后执行扫描操作。如上图对alpine 3.18.3未检测出漏洞。