OpenShift 4 - 使用 Trivy Operator 对项目中的镜像进行安全扫描

最新推荐文章于 2024-04-11 09:56:49 发布
最新推荐文章于 2024-04-11 09:56:49 发布
阅读量3.8k 收藏
点赞数
分类专栏: OpenShift 4 安全 DevOps 文章标签: docker kubernetes 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43902588/article/details/122397657
版权
OpenShift 4 同时被 3 个专栏收录
271 篇文章 78 订阅
订阅专栏
DevOps
89 篇文章 3 订阅
订阅专栏
安全
76 篇文章 6 订阅
订阅专栏

OpenShift 4.x HOL教程汇总
说明:本文已经在OpenShift 4.9环境中验证

文章目录

安装配置Trivy Operator

  1. 使用默认配置安装 Trivy Operator,然后创建一个 “NamespaceScanner” 实例。
apiVersion: trivy-operator.devopstales.io/v1
kind: NamespaceScanner
metadata:
  name: trivy-operator-main-config
  namespace: openshift-operators
spec:
  crontab: '*/5 * * * *'
  namespace_selector: trivy-scan
  1. 根据 trivy-operator 的服务创建 Route。
$ oc expose svc trivy-operator -n openshift-operators
$ TRIVY_ADDR=$(oc get route trivy-operator -o jsonpath='{.spec.host}' -n openshift-operators)

扫描项目镜像

  1. 在 OpenShift 执行以下YAML 创建测试应用资源。注意:使用 trivy-scan: “true” 标签声明项目需要用Trivy扫描。
apiVersion: v1
kind: Namespace
metadata:
  labels:
    trivy-scan: "true"
    trivy-operator-validation: "false"
  name: trivytest
---
apiVersion: v1
kind: Pod
metadata:
  name: nginx
  namespace: trivytest
spec:
  initContainers:
  - name: init
    image: nginxinc/nginx-unprivileged:latest
    command: ['sh', '-c', 'echo The app is running! && sleep 10']
  containers:
  - image: nginx:1.18
    imagePullPolicy: IfNotPresent
    name: nginx
  1. 执行命令,查看Trivy的扫描结果。
$ curl -s ${TRIVY_ADDR}/metrics | grep so_vulnerabilities
# HELP so_vulnerabilities Container vulnerabilities
# TYPE so_vulnerabilities gauge
so_vulnerabilities{exported_namespace="trivytest",image="docker.io/library/nginx:1.18",severity="UNKNOWN"} 8.0
so_vulnerabilities{exported_namespace="trivytest",image="docker.io/library/nginx:1.18",severity="LOW"} 126.0
so_vulnerabilities{exported_namespace="trivytest",image="docker.io/library/nginx:1.18",severity="MEDIUM"} 25.0
so_vulnerabilities{exported_namespace="trivytest",image="docker.io/library/nginx:1.18",severity="HIGH"} 43.0
so_vulnerabilities{exported_namespace="trivytest",image="docker.io/library/nginx:1.18",severity="CRITICAL"} 21.0
so_vulnerabilities{exported_namespace="trivytest",image="docker.io/library/nginx:1.18",severity="scanning_error"} 1.0
so_vulnerabilities{exported_namespace="trivytest",image="docker.io/nginxinc/nginx-unprivileged:latest",severity="UNKNOWN"} 8.0
so_vulnerabilities{exported_namespace="trivytest",image="docker.io/nginxinc/nginx-unprivileged:latest",severity="LOW"} 83.0
so_vulnerabilities{exported_namespace="trivytest",image="docker.io/nginxinc/nginx-unprivileged:latest",severity="MEDIUM"} 5.0
so_vulnerabilities{exported_namespace="trivytest",image="docker.io/nginxinc/nginx-unprivileged:latest",severity="HIGH"} 7.0
so_vulnerabilities{exported_namespace="trivytest",image="docker.io/nginxinc/nginx-unprivileged:latest",severity="CRITICAL"} 4.0
so_vulnerabilities{exported_namespace="trivytest",image="docker.io/nginxinc/nginx-unprivileged:latest",severity="scanning_error"} 1.0
so_vulnerabilities{exported_namespace="trivytest",image="quay.io/openshift-release-dev/ocp-v4.0-art-dev@sha256:2109bd8a42870060074ea82f56d34d53e925740bda31b6e6e55c6f60ba8e74f0",severity="scanning_error"} 1.0
so_vulnerabilities{exported_namespace="trivytest",image="image-registry.openshift-image-registry.svc:5000/trivytest/httpd-sample@sha256:00e075fd12cfb2466c3a83262410e080373a64a3a0c0ac1bfb043996c01eb6a5",severity="scanning_error"} 1.0
  1. 还可执行命令统计不同等级 CVE 的数量。
curl -s ${TRIVY_ADDR}/metrics | grep CRITICAL | wc -l
curl -s ${TRIVY_ADDR}/metrics | grep HIGH | wc -l
curl -s ${TRIVY_ADDR}/metrics | grep LOW | wc -l

参考

https://github.com/devopstales/trivy-operator
https://staging.artifacthub.io/packages/helm/devopstales/trivy-operator

dawnsky.liu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
云原生安全镜像漏洞扫描工具Trivy使用指南
SHELLCODE_8BIT的博客
09-21 1040
Trivy是一个简单而全面的扫描器,用于检测容器镜像、文件系统和Git存储库的漏洞以及配置问题。Trivy检测操作系统包(Alpine、RHEL、CentOS 等)和特定编程语言包(Bundler、Composer、npm、yarn 等)的漏洞。此外,Trivy扫描基础设施即代码 (IaC) 文件,例如 Terraform、Dockerfile 和Kubernetes,从发现部署面临攻击风险和潜在配置问题的等。Trivy易于使用
HummerRisk 使用教程:k8s检测
wolaisongfendi的博客
03-20 317
本文将介绍如何使用HummerRisk 进行 kubernetes 检测,包括使用流程、配置信息详细说明、基础功能使用等。
探索安全扫描新境界:Aquasec Trivy Operator
最新发布
gitblog_00082的博客
04-11 415
探索安全扫描新境界:Aquasec Trivy Operator trivy-operatorKubernetes-native security toolkit项目地址:https://gitcode.com/gh_mirrors/tr/trivy-operator 则是这个功能的 Kubernetes 版本,它将 Trivy 的强大能力整合到 Kubernetes 集群管理,让安全扫描变得...
使用 Trivy 扫描 Docker 镜像漏洞
一览无遗
01-29 1194
本博客介绍了使用 Trivy 扫描程序保护 Docker 镜像免受潜在漏洞影响的基本步骤。是一个开源工具,可用于扫描 Docker 镜像以查找漏洞。Docker 镜像是打包和部署应用程序的简单方法。但是,如果它们包含漏洞,它们也可能存在安全风险。它可能是库的问题、应用程序依赖项的漏洞、容器配置错误等。Trivy 是一种有效的 Docker 漏洞扫描程序,支持多个漏洞数据库,包括常见漏洞和暴露 (。Trivy 还可以扫描错误的配置和机密。
开源云原生安全治理平台 HummerRisk 文入门指南
easylife206的专栏
11-29 587
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !HummerRisk是一个开源的云安全治理平台,以非侵入的方式对云原生环境进行全面安全检测,核心解决三个方面的问题,底层的混合云安全合规,层的 K8s 容器云安全和上层的软件安全。特性混合云安全治理混合云安全合规检测:对主流的公(私)有云资源进行安全合规检测,例如等保 2.0 预检、CIS 合规检查、各种基线检测...
HummerRisk 快速入门教程
wolaisongfendi的博客
11-09 1122
本文介绍 HummerRisk 的快速安装和使用,让你5分钟开始 HummerRisk 的云原生安全之旅。
openshift4-vmware-upi:支持在VMware上自动安装OpenShift 4的Ansible手册和文档
01-31
请注意,如果未对append bootstrap配置进行一些修改,则此安装程序将无法与OpenShift的早期版本一起使用。 之所以需要进行此更改,是因为OpenShift 4.6现在使用点火规范v3(OpenShift的早期版本使用v2)。 有关更改...
openshift4-rhv-upi:支持使用Baremetal UPI在RHV上自动安装OpenShift 4的Ansible手册和文档
02-02
使用Baremetal UPI在RHV上配置OpenShift 4.4 该存储库包含一组手册,以帮助促进OpenShift 4.4在RHV上的部署。 背景 该存储库的剧本/脚本应该可以帮助您自动化RHV上的绝大多数OpenShift 4.4 UPI部署。 请务必阅读...
cluster-openshift-apiserver-operator:openshift-apiserver操作员在集群上安装和维护openshift-apiserver
04-01
例如,这允许外部组件(等)与OpenShift API服务器配置( 定制资源)进行交互。 当前正在观察以下外部组件的变化: cluster images.config.openshift.io自定义资源所观察到的CR资源被用于配置imagePolicyConfig....
OpenShift4-tools:OpenShift 4工具
04-08
OpenShift4-工具 安装工具等。OpenShift 4集群。 目录 集群实用程序 oinst :OpenShift 4.x安装程序包装器,当前适用于AWS,GCE和libvirt。 您可能需要安装kubechart(github.com/sjenning/kubechart/kubechart)...
openshift-jee-sample:将在openshift环境部署的示例应用程序
04-01
openshift-jee-sample 将在openshift环境部署的示例应用程序 注意:要使用maven构建该存储库,必须指定“ -Popenshift”,例如“ mvn clean package -Popenshift
5 款漏洞扫描工具:实用、强力、全面(含开源)
热门推荐
YF云飞的博客
08-03 4万+
5 款实用漏洞扫描工具概述&安装
Trivy安装和使用示例
08-25 2283
Trivy offical link: https://aquasecurity.github.io/trivy/v0.19.2/getting-started/overview/ Install Steps: wget https://github.com/aquasecurity/trivy/releases/download/v0.19.2/trivy_0.19.2_Linux-64bit.deb sudo dpkg -i trivy_0.19.2_Linux-64bit.deb trivy -h
【质量】镜像漏洞扫描工具Trivy原理和操作
bandaoyu的note
08-22 3644
Trivy 有对 CI 友好的特点,并且官方也以这种方式使用它,想要集成 CI 只需要一段简单的 Yml 配置文件即可,如果发现漏洞,测试将失败。由于在自动化场景(如CI/CD),您只对最终结果感兴趣,而不是对完整的报告感兴趣,因此请使用 –light 标志对此场景进行优化,以获得快速的结果。在下面的示例,仅当发现关键漏洞时,测试才会失败。漏洞扫描工具扫描镜像内的组件/库的包的版本,然后再去官方数据库检索,查看当前镜像内的组件/库的版本有没有官方记录的漏洞,发现有就列出漏洞列表(cve id列表)。
使用Trivy扫描器将安全性集成到CI/CD
NewTyun的博客
02-24 712
新钛云服已为您服务1412天将开源 Trivy 嵌入软件构建过程,并扫描容器映像和代码文件以查找漏洞和错误配置。对云原生基础设施的攻击呈上升趋势。2021 年为期六个月的研究表明,在过去...
OpenShift 4 - 利用 File Integrity Operator 实现对集群节点进行入侵检测(附视频)
多恩斯基的博客
03-05 4772
OpenShift 的 File Integrity Operator 可以在集群节点上持续地运行文件完整性检查。它部署了一个 DaemonSet,在每个节点上初始化并运行有特权的AIDE(Advanced Intrusion Detection Environment - 高级入侵检测环境)容器,提供自 DaemonSet 初始运行以后被修改的文件记录。
RHEL 8 - CIS安全合规基线、SCAP、SSG和合规扫描、漏洞扫描
多恩斯基的博客
02-12 4614
CIS(互联网安全心)提供各种网络安全相关服务。它制作了基准以保护系统免受当今不断变化的网络威胁。 这些基准以PDF的形式免费提供给CIS成员,这些内容是可读的但不能直接被扫描工具使用。CIS为付费会员提供了一些XCCDF1格式的基准,可以被工具使用。不过这些基准不包含改变服务器状态以达到合规性所需的自动化和补救步骤。为此Red Hat向用户生产“scap-security-guidelines”软件包,它包含了基准扫描合规性、自动化和补救结果所需的内容。 openscap-scanner: 扫描工具。
OpenShift 4 - DevSecOps (1) - 安装 DevOps 环境
多恩斯基的博客
04-01 4259
OpenShift 4.x HOL教程汇总》 说明:本文已经在OpenShift 4.10环境验证 本文创建的环境是《OpenShift Security (17) - 在 DevSecOps 过程,借助 RHACS 发现并修复安全隐患 (视频)》演示 文章目录安装 Ansible 及其相关依赖包根据 Ansible Playbook 安装 DevSecOps Workshop 环境参考 安装 Ansible 及其相关依赖包 执行命令安装 Ansible。 $ sudo dnf install a
openshift internal-registry 切换 sc
05-25
oc patch configs.imageregistry.operator.openshift.io/cluster -n openshift-image-registry --type merge --patch '{"spec":{"storage":{"pvc": {"claim": {"storageClassName": "new-sc"}}}}}' ``` 5. 验证配置...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值