trivy 源码分析(扫描镜像中的漏洞信息)

最新推荐文章于 2025-03-14 10:00:00 发布
最新推荐文章于 2025-03-14 10:00:00 发布
阅读量2.1k 收藏 10
点赞数 4
分类专栏: 云原生安全 文章标签: 安全 前端 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huzai9527/article/details/125895459
版权
本文分析了trivy扫描镜像中漏洞的流程,包括获取镜像资产信息,匹配CVE,以及CLI启动和匹配逻辑。重点在于理解如何根据镜像OS和包信息查询并判断是否存在安全隐患。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

scan image 流程

总结

  • 把总结放在开头,能让我们看源码的时候有掌控全局的感觉。
  • 扫描逻辑其实很简单的,首先需要获取镜像中的各种资产信息(OSPackage等)
  • 然后需要根据(镜像的OS信息 + pkg信息) 查询相关的待选CVE
  • 然后在匹配当前的pkg的版本号,是不是CVE中fixed的版本号,如果不是就记录该CVE
  • 如果想要魔改或者抽取,建议直接看,从image获取pkg信息 以及 根据OS以及pkg查询CVE 这两个函数
  • 如果就想知道扫描流程,看到这就已经够了

cli 启动逻辑

// 扫描镜像的命令 [flags] 可以为空
cmd := &cobra.Command{
   
		Use:     "image [flags] IMAGE_NAME",
		Aliases: []string{
   "i"},
		Short:   "Scan a container image",
		Example: `  # Scan a container image
		....
		}

// 扫描需要的一些配置,分析最简单的仅扫描image,也就是没有flag全部为空或者默认值的情况
imageFlags := &flag.Flags{
   
		CacheFlagGroup:         flag.NewCacheFlagGroup(),
		DBFlagGroup:            flag.NewDBFlagGroup(),
		ImageFlagGroup:         flag.NewImageFlagGroup(), // container image specific
		LicenseFlagGroup:       flag.NewLicenseFlagGroup(),
		MisconfFlagGroup:       flag.NewMisconfFlagGroup(),
		RemoteFlagGroup:        flag.NewClientFlags(), // for client/server mode
		ReportFlagGroup:        reportFlagGroup,
		ScanFlagGroup:          flag.NewScanFlagGroup(),
		SecretFlagGroup:        flag.NewSecretFlagGroup(),
		VulnerabilityFlagGroup: flag.NewVulnerabilityFlagGroup(),
	}


PreRunE: func(cmd *cobra.Command, args []string) error {
   
			// viper.BindPFlag cannot be called in init(), so it is called in PreRunE.
			// cf. https://github.com/spf13/cobra/issues/875
			//     https://github.com/spf13/viper/issues/233
			if err := imageFlags.Bind(cmd); err != nil {
   
				return xerrors.Errorf("flag bind error: %w", err)
			}
			// 检查 flags
			return validateArgs(cmd, args)
		},
		RunE: func(cmd *cobra.Command, args []string) error {
   
      // 将参数转成 option 格式
			options, err := imageFlags.ToOptions(cmd.Version, args, globalFlags, outputWriter)
			if err != nil {
   
				return xerrors.Errorf("flag error: %w", err)
			}
      // 调用 artifact.Run , TargetContainerImage == 'image' 常量字符串
			return artifact.Run(cmd.Context(), options, artifact.TargetContainerImage)
		},

扫描逻辑

// Run performs artifact scanning
func Run(ctx context.Context, opts flag.Options, targetKind TargetKind) (err error) {
   
	.......
	// 根据执行参数构建一个runner
	r, err := NewRunner(ctx, opts)
  ......
最低0.47元/天 解锁文章
【质量】镜像漏洞扫描工具Trivy原理和操作
小鱼菜鸟的博客
10-04 1392
目录 Trivy工作原理 cve ID和CVE数据库 Trivy扫描镜像流程 快速入门 Trivy工作原理 cve ID和CVE数据库 个人理解: 当有人发现漏洞时,在社区提交漏洞,然后被cve 官方数据库收录,分配cve id。 漏洞扫描工具扫描镜像内的组件/库的包的版本,然后再去官方数据库检索,当检索到当前镜像内的组件/库的版本 ...
容器镜像安全扫描Trivy
Candour_0的博客
02-13 838
容器镜像安全扫描Trivy
Trivy:容器安全扫描神器
最新发布
分享web安全、AI安全、云安全、业务安全、渗透测试、安全开发、安全工具、行业动态等优质内容……
03-14 1119
Trivy是一款开源的安全扫描工具,专注于检测容器镜像、文件系统和代码仓库中的已知漏洞和配置错误。它支持多种目标,包括容器镜像、文件系统、Git 仓库、Kubernetes 和 AWS 等,能够快速识别操作系统漏洞、应用依赖漏洞、错误配置以及敏感信息泄露等问题。Trivy 以其扫描速度快、易于集成和实时更新的漏洞数据库而著称,广泛应用于 CI/CD 流水线、本地开发环境和容器镜像仓库的安全监控中。作为容器安全领域的标杆工具,Trivy通过全生命周期安全防护理念和各项领先的能力,备受开发者的青睐。
trivy 获取基础镜像源码分析
guoguangwu的专栏
07-31 955
trivy 获取基础镜像源码分析
trivy【2】工具漏洞扫描
爱死亡机器人
07-28 1833
检测操作系统包(Alpine、RHEL、CentOS等)和特定语言包(Bundler、Composer、npm、yarn等)的漏洞。此外,扫描Terraform和Kubernetes等基础架构即代码(IaC)文件,以检测使您的部署面临攻击风险的潜在配置问题。通过将Trivy嵌入Dockerfile来扫描您的图像作为构建过程的一部分。在上面的示例中,Trivy检测到了Python依赖项的漏洞和Dockerfile中的错误配置。指定目录可以包含混合类型的IaC文件。.........
容器镜像安全漏洞扫描-Trivy
因上努力,果上随缘。但行好事,莫问前程。
10-19 764
Trivy(tri 发音为 trigger,vy 发音为 envy)是一个简单而全面的漏洞/错误配置扫描器,用于容器和其他工件。软件漏洞是软件或操作系统中存在的故障、缺陷或弱点。Trivy 检测操作系统包(Alpine、RHEL、CentOS 等)和特定语言包(Bundler、Composer、npm、yarn 等)的漏洞。此外,Trivy扫描基础设施即代码 (IaC) 文件,例如 Terraform 和 Kubernetes,以检测使您的部署面临攻击风险的潜在配置问题。Trivy 易于使用。
Trivy是CD流水线上面向容器的脆弱性扫描
Criss@陈磊
12-29 862
脆弱性是什么 脆弱性,英文是Vulnerability,也叫漏洞。是指计算机系统安全方面的缺陷,使得系统或者其应用数据的保密性、完整性、可用性、访问控制等面临威胁。很多漏洞是程序错误导致的,因此也叫做安全缺陷,但是并不是全部的安全隐患都是程序安全缺陷导致的。在《GB/T 25069-2010 信息安全技术 术语》,将脆弱性定义为“资产中能被威胁所利用的弱点”。 脆弱性检测就是漏洞扫描方案。通过漏洞扫描器对客户指定的计算机系统、网络组件、应用程序进行全面的漏洞检测服务,由安全专家对扫描结果进行解读,为您提供专
渗透工具Trivy:容器映像、文件系统和 Git 存储库中的漏洞以及配置问题的扫描程序
学习、分享、交流
04-16 2097
Trivy:容器映像、文件系统和 Git 存储库中的漏洞以及配置问题的扫描程序
镜像漏洞扫描工具:Trivy
教Linux的李老师
06-27 802
打印指定(高危、严重)漏洞信息 JSON格式输出并保存到文件
golang 代码运行trivy扫描本地镜像漏洞
guoguangwu的专栏
01-09 716
golang 代码运行trivy扫描本地镜像漏洞
Golang代码漏洞扫描工具介绍——trivy
killer1989的博客
09-15 1031
Trivy是不是是一款功能强大的漏洞扫描工具,它的应用场景不仅仅在代码层面,还有镜像层面,而且不仅仅能够扫描Golang,还能扫描等语言。操作系统包(Alpine、Red Hat Universal Base Image、Red Hat Enterprise Linux、CentOS、Oracle Linux、Debian、Ubuntu、Amazon Linux、openSUSE Leap、SUSE Enterprise Linux、Photon OS 和 Distroless等)和应用程序依赖(
开源工具系列2:Trivy
wolaisongfendi的博客
01-11 708
在云原生安全的场景中,一个常见的场景就是对漏洞和配置进行扫描,以发现整个 K8s 环境的安全问题。今天我们来介绍一个高效的扫描工具Trivy
trivy【1】漏洞扫描工具安装
爱死亡机器人
07-27 3223
Trivy是一个简单而全面的漏洞/错误配置/秘密扫描器,用于容器和其他工件。检测操作系统包(Alpine、RHEL、CentOS等)和特定语言包(Bundler、Composer、npm、yarn等)的漏洞。此外,扫描Terraform和Kubernetes等基础架构即代码(IaC)文件,以检测使您的部署面临攻击风险的潜在配置问题。还扫描硬编码的秘密vyTrivyTrivyTrivy比如密码、API密钥和令牌。Trivy易于使用。只需安装二进制文件,您就可以扫描了。漏洞错误配置。..............
Trivy 容器漏洞扫描工具
Vic的博客
12-01 1035
软件简介 Trivy 是一个简单而且功能完整的容器漏洞扫描工具,特别使用用于持续集成。 准确性比较 在 Alpine Linux 中检测的漏洞(2019/05/12) 详细的比较请看Comparison with other scanners 特性 全面检测漏洞 操作系统 (Alpine,Red Hat Universal Base Image, Red Hat Enterprise Linux, CentOS, Debian and Ubuntu) 应用依赖(B...
使用 Trivy 扫描 Docker 镜像漏洞
一览无遗
01-29 1563
本博客介绍了使用 Trivy 扫描程序保护 Docker 镜像免受潜在漏洞影响的基本步骤。是一个开源工具,可用于扫描 Docker 镜像以查找漏洞。Docker 镜像是打包和部署应用程序的简单方法。但是,如果它们包含漏洞,它们也可能存在安全风险。它可能是库中的问题、应用程序依赖项中的漏洞、容器配置错误等。Trivy 是一种有效的 Docker 漏洞扫描程序,支持多个漏洞数据库,包括常见漏洞和暴露 (。Trivy 还可以扫描错误的配置和机密。
探秘Trivy:全面安全扫描器,保障你的应用安全
gitblog_00031的博客
05-10 415
探秘Trivy:全面安全扫描器,保障你的应用安全 trivyTrivy是一个开源的容器安全扫描工具,用于检测容器镜像中的安全漏洞和不符合最佳实践的配置。它支持多种容器镜像格式和操作系统,可以帮助开发者和运维人员确保他们的容器化应用程序是安全的。项目地址:https://gitcode.com/gh_mirrors/tr/trivy 在数字化时代,应用的安全性变得越来越重要。如果你正在寻找一款高效...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值