grype

最新推荐文章于 2024-04-01 09:12:23 发布
最新推荐文章于 2024-04-01 09:12:23 发布
阅读量307 收藏
点赞数
文章标签: 安全 linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZYHCSDDDDN/article/details/124950114
版权

Grype 漏洞扫描原理

代码

位于主目录下的main.go中的main函数是程序的入口。main函数调用了cmd包的Execute方法。

main

程序cmd/cmd.go中的Execute函数执行了rootCmd.Execute()

在这里插入图片描述

rootCmd是在同包下的root.go中定义的

在这里插入图片描述

rootCmd是一个cobra.Command指针类型的变量。cobra是一个用于构建命令行应用的开源项目,可以先不管它的具体细节。RunE这个属性配置了匹配到命令后程序如何执行。可以看到函数中会返回执行rootExec这个函数的返回值。而ValidArgsFunction指定了一个dockerImageValidArgsFunction, 这是用于grype的代码补全功能。假设我本地有一个nginx的docker镜像,输入grype ngi <tab> <tab>即可补全成grype nginx

rootExec也位于root.go中。这个函数解析用户在命令行输入的参数。参数数量有可能是0,因为用户可能会通过管道输入软件物料清单数据。比如 echo sbom.json | grype。可以看到有startWorker这个函数,这个是执行主要逻辑的函数。

在这里插入图片描述

startWorker函数267到282行的这一部分检查grype本身是否需要更新

在这里插入图片描述

284-319的内容主要是两个go routine的运行. sync.WaitGroup用于等待两个go routine(go routine是异步的, 由go这个关键字标识)执行结束。第一个函数主要是检查漏洞数据库是否需要更新,并加载漏洞数据库。第二个函数的作用是收集包,赋值给packages变量,代码的331行会使用到packages变量进行漏洞查找:allMatches := grype.FindVulnerabilitiesForPackage(provider, context.Distro, matchers, packages)

在这里插入图片描述

从上图我们可以看到第二个函数调用了pkg.Provide。这个函数位于grype/pkg/provider.go。可以看到这个函数会使用syft来获得packages。通过阅读syftSBOMProvider和syftProvider,发现grype可以接受文件类型的或者是容器镜像名作为参数。不管是哪一个类型,都会使用到syft(此时作为一个go 模块进行使用,和syft cli不是一个概念)。

在这里插入图片描述

package变量的结构如下图所示

在这里插入图片描述

gather packages之后就会执行allMatches := grype.FindVulnerabilitiesForPackage(provider, context.Distro, matchers, packages)来寻找所有的漏洞。

流程图

在这里插入图片描述

ZYHCSDDDDN
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
Go cobra 库学习
梦启未来
12-05 2358
其实简单的来说,cobra就是一个自定义命令工具,我们经常使用一些命令来构建项目,但是这些命令都是go自带的,你想写自己的命令就可以使用cobra库来试一试。 二,简单的cobra项目 先构建一个简单的cobra命令,以此来熟悉cobra是怎么用的创建一个cmd目录,在目录里创建一个myOrder.go,实际上这个名字可以随便命名,一般来说,你创建的啥命令就写啥名字,这不是为了好找么。 然后在main.go 入口里运行Execute即可main.go ↓ cobraTest是这个项目的名字,c
探索安全漏洞的利器:Grype——容器镜像与文件系统的安全扫描器
最新发布
gitblog_00025的博客
05-11 465
探索安全漏洞的利器:Grype——容器镜像与文件系统的安全扫描器 项目地址:https://gitcode.com/anchore/grype 在数字化世界中,确保软件的安全性至关重要。Grype 是一个强大的开源工具,专为容器镜像和文件系统设计,用于检测已知的安全漏洞。它与 Syft 配合使用,后者是一个强大的软件物料清单(Software Bill of Materials, SBOM)生成工...
Docker镜像的(Dive)分析和(Grype)漏洞扫描
虫虫的博客
04-01 1074
Docker镜像的(Dive)分析和(Grype)漏洞扫描
grype:用于容器映像和文件系统的漏洞扫描程序
02-05
格里普 容器映像和文件系统的漏洞扫描程序。 即可试用。 产品特点 扫描容器映像或文件系统的内容以查找已知漏洞。 查找主要操作系统软件包的漏洞 高山的 忙箱 CentOS /红帽 德比安 的Ubuntu 查找特定于语言的程序包的漏洞 Ruby(Bundler) Java(JAR等) JavaScript(NPM /纱线) Python(鸡蛋/车轮) Python pip / requirements.txt / setup.py列表 支持Docker和OCI图像格式 如果您遇到问题,请。 入门 ,并确保grype在您的路径中可用。 要扫描图像中的漏洞: grype <image
SBOM的介绍与syft和grype的使用
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
02-01 1479
SBOM的介绍与syft和grype的使用
四款免费、易用的Docker漏洞扫描工具
java_cjkl的博客
01-19 1306
本文向您介绍四种既可以扫描Docker镜像中的漏洞,又能够被轻松地集成到CI/CD中的四种免费实用工具。
docker-grype:在Docker内包装锚定Grype
04-13
码头工人 在Docker内包装 环境变量 DOCKER_PASSWORD (可选):如果与DOCKER_USERNAME (以及可选地与DOCKER_SERVER )一起使用,将登录Docker传输图像以进行扫描。 DOCKER_SERVER (可选):可以与DOCKER_USERNAME...
docker-scan:用于docker图像的多功能扫描仪。 驱动克莱尔(Clair),锚地(Anchore),特里维(Trivy),斯奈克(Snyk),格里普(Grype)并合并结果
03-16
码头扫描用于docker图像的多功能扫描仪。 驱动克莱尔(Clair),锚地(Anchore),特里维(Trivy),斯奈克(Snyk),格里普(Grype)并合并结果
scan-action:作为GitHub Action提供的Anchore容器分析和扫描
04-28
该操作将调用grype命令行工具,具有以下优点: 在本地运行,无需发送数据出站-无需凭据! 快速扫描操作 扫描路径和容器图像 根据漏洞的严重程度轻松进行故障评估 示例工作流程中有许多用于扫描容器和目录的用法...
Go应用构建工具(3)--cobra
张氏小毛驴的博客
01-30 948
NoArgs: 如果存在任何的参数,将会报错:接受任意参数:接受至少N个参数,否则报错:接受至多N个参数,否则报错:只接收N个参数,如果个数不对,报错:参数个数在min和max之间,否则报错:如果没有一个参数是符合command的ValidArgs字段指定的参数的话,就报错;这个要配合ValidArgs使用MatchAll:这个方法可以组合上面几种验证函数,比如可以要求参数个数必须为2个,而且需要满足指定的参数},比如:err!
如何使用 Grype 查找容器和文件中的漏洞
学海无涯苦作舟的博客
01-01 1540
Grype 是一个开源漏洞扫描器,可以发现容器镜像和文件系统目录中的弱点。Grype由 Anchore 开发,但作为一个独立的二进制文件工作,比 Anchore 引擎更容易掌握。 已知漏洞通过过时的操作系统包、受损的编程语言依赖项和不安全的基础映像进入您的软件。主动扫描您的工件可以让您在恶意行为者发现问题之前了解问题。以下是如何使用 Grype 查找代码和容器中的问题。 安装 Grype Grype 作为预编译的二进制文件以deb、rpm、Linux 源代码和 Mac 格式分发。您可以从 GitHub获取.
Golang学习(二十七)强大的命令行工具cobra
默子昂
03-04 2441
"cobra" 命令行解析工具,在Kubernetes代码中我们也能经常看到他的身影 项目地址 https://github.com/spf13/cobra 一、命令行工具基本概念 一个好的命令工具,读起来应该像一个句子一样。比如 git clone URL --bare //git 就是可执行文件名 //clone 就是命令(Command) //URL 就是事务(Arg) 参数 //--bare 就是修饰动作的Flag 预定义 1、命令行工具的格式 [appNam...
Golang Cobra详解(二)
Meyerheim1的博客
11-24 653
代码目录: main.go package main import "cobraDemo/cmd" func main() { cmd.Execute() } root.go package cmd import ( "fmt" "github.com/spf13/cobra" "os" "github.com/spf13/viper" ) var cfgFile string //增加name参数 var name string var rootCmd = &.
构建Go命令行程序工具链
GopherCN的博客
06-24 191
偷懒的故事 今天的推荐需要从一个偷懒的故事说起: 话说,不久之前,需要输出一个按发布时间排序的酷Go推荐的历史文章列表,类似于这样 于是乎,从GoCN上一篇一篇copy文章的标题吧,5篇下来,手眼已经不协调了,此时此刻才想起自己貌似是个码农,此情此景那必须coding一段,让代码来输出这个列表。 思路很简单,看一下GoCN文章列表的API,再看下鉴权方式(看header是通过cookie),然后就可以coding了,通过API拉取文章数据,提取需要的字段再组装成MD输出就完事了!当准备一个main.go搞
开源是容器安全面临的最大挑战?|Anchore 软件供应链安全报告解读
腾源会
11-12 1091
PART ONEAnchore 软件供应链安全报告解读Anchore[1]是一家关注软件供应链安全安全厂商,其旗下有好几款关于安全的开源项目,比如 Syft[2]、Grype[3]。其在...
golang 命令行cobra妙用
weixin_34168880的博客
07-25 775
为什么使用命令行 大型项目中少不了数据升级,如果采用web服务,一来不够安全,二来数据量大的时候也会出超时的情况。这时使用命令行是比较合适的方式了。 命令行中的MVC web项目一般采用MVC模式,对于命令行有吗? 对于命令行则有command(命令)和flag(参数),golang自带了flag包,不过功能不够强大,这里我们使用第三方包cobra cobra 的使用 具体用法可以参考官方文档,我...
golang程序包开发,复杂命令行支持
weixin_43847600的博客
10-26 666
支持子命令命令行程序支持包开发 任务 了解Cobra包,使用 cobra 命令行生成一个简单的带子命令的命令行程序 模仿 cobra.Command 编写一个 myCobra 库 将带子命令的命令行处理程序的 import (“github.com/spf13/cobra”) 改为 import (corbra “gitee.com/yourId/yourRepo”) 使得命令行处理程序修改代价最小,即可正常运行 一、了解Cobra包,使用 cobra 命令行生成一个简单的带子命令的命令行程序 查看Co
Cobra 程序包简单解读
qq_43267773的博客
10-26 974
文章目录Cobra 程序包简单解读前言cobra 简介cobra 功能获取 cobra运行 cobra函数解析Command 结构体执行命令为根命令添加 help 子命令添加 help flag输出 help 信息 Cobra 程序包简单解读 前言 笔者最近有改写 cobra 程序包的作业需要完成,所以去查看学习了原作者 spf13 写的cobra 程序包,这里记录一下自己的学习心得。 https://github.com/spf13/cobra cobra 简介 cobra 是一个现代 CLI 命令行的
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值