使用Trivy扫描Docker镜像漏洞详细指南

最新推荐文章于 2024-05-08 14:11:03 发布
最新推荐文章于 2024-05-08 14:11:03 发布
阅读量648 收藏 19
点赞数 23
分类专栏: 安全 云原生 文章标签: docker 容器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yugongpeng/article/details/138206870
版权

本文介绍了使用 Trivy 扫描程序保护 Docker 镜像免受潜在漏洞侵害的基本步骤。

Trivy 扫描程序是一个开源工具,可用于扫描 Docker 镜像的漏洞。

Docker 镜像是打包和部署应用程序的简单方法。但是,如果它们包含漏洞,也可能存在安全风险。它可能是库中的问题、应用程序依赖项中的漏洞、容器配置错误等。

Trivy 是一个有效的 Docker 漏洞扫描程序,支持多个漏洞数据库,包括常见漏洞和披露 (CVE) 数据库。Trivy 还可以扫描错误的配置和安全性。

使用 Trivy 扫描 Docker 镜像

下图显示了高级组件和容器扫描工作流。

首先,你需要在系统或要实现 Docker 镜像扫描的 CI 代理节点上安装 trivy。

可以在 Trivy 官网找到安装步骤。

使用 Trivy 扫描 Docker 镜像非常简单。只需要使用要扫描的镜像名称运行以下trivy命令。

trivy image <image-name>

例如,工作站中有一个名为 techiescamp/pet-clinic-app 的镜像。它是带有 java spring boot 应用程序的 docker 镜像。

可以使用以下命令扫描镜像。Trivy 会扫描镜像中的两个漏洞,就像镜像中的 java jar 一样。扫描结果将以人类可读的格式显示。

trivy image techiescamp/pet-clinic-app:1.0.0

扫描结果显示镜像中没有高或严重漏洞。

此外,它还显示了 Docker 镜像内 jar 的 2 个高漏洞

Trivy 可以以多种方式使用。以下是一些高级用法示例:

扫描严重级别

Trivy可以扫描特定严重级别的漏洞。为此,使用来指定需要扫描的漏洞严重级别。--severity <severity>

Docker 镜像构建 pipline 中的 Trivy

Trivy 在 CI/CD 管道中起着关键作用,用于 docker 镜像构建。使用 trivy 扫描 CI/CD 管道中的漏洞,以确保在生产环境中部署 seecure 镜像。

在 CI/CD piepline 中使用时,如果镜像中存在任何漏洞,pipline 作业应会失败。严重性取决于组织的安全合规性。例如,有些项目可能有严格的准则,使生成失败,因为严重性为 HIGH 和 CRITICAL。构建失败的最佳方法是使用退出代码。

可以在trivy命令中使用  和  标志,如下所示。如果发现给定严重性的任何漏洞,它将使用非零退出代码使Trivy退出。--severity--exit-code 1

trivy image --severity HIGH,CRITICAL  --exit-code 1 techiescamp/pet-clinic-app:1.0.0

此外,还可以将漏洞报告作为构建失败通知发送给开发人员和 DevOps 工程师。

推荐的方法是使用 Trivy 配置文件来设置扫描的默认值。您可以使用此文件来满足特定于项目需求的扫描要求。

下面是一个 文件示例:trivy.yaml

timeout: 10m
format: json
dependency-tree: true
list-all-pkgs: true
exit-code: 1
output: result.json
severity:
  - HIGH
  - CRITICAL
scan:
  skip-dirs:
    - /lib64
    - /lib
    - /usr/lib
    - /usr/include

  security-checks:
    - vuln
    - secret
vulnerability:
  type:
    - os
    - library
  ignore-unfixed: true
db:
  skip-update: false

指定配置文件扫描:

trivy image --config path/to/trivy.yaml your-image-name:tag

输出为 JSON

Trivy 也可以提供 JSON 格式的输出。要做到这一点,使用 --format json,它将以 json 格式显示扫描结果。

trivy image --ignore-unfixed java:0.1

扫描 Docker tar 镜像

在某些情况下,您可能具有 tar 格式的 Docker 镜像。在这种情况下,您可以使用trivy扫描tar格式的镜像。

例如:

trivy image --input petclinic-app.tar

Trivy 在 Docker 镜像中扫描什么

以下是 Trivy 扫描的 Docker 镜像中的关键元素。

  1. Trivy 可以扫描各种包管理器中的漏洞,包括 apt、yum、apk 和 npm。这意味着 Trivy 可以扫描使用各种不同软件依赖项的镜像中的漏洞。
  2. Trivy 可以扫描 Linux 和 Windows 镜像中的漏洞。这意味着您可以使用 Trivy 扫描将在 Linux 或 Windows 主机上运行的镜像。
  3. Trivy 可以扫描以各种不同格式存储的镜像中的漏洞,包括 Docker 镜像、tar 存档和文件系统。这意味着您可以使用 Trivy 扫描存储在各种不同位置的镜像。
  4. Trivy 可以扫描在各种环境中运行的 Docker 镜像中的漏洞,包括普通 Docker 容器和 Kubernetes Pod。这意味着您可以使用 Trivy 扫描在您使用的任何环境中运行的镜像。

使用 Trivy 扫描 Docker 镜像漏洞的好处

下图显示了 CVE 数据库中的漏洞总数。正如你所看到的,它每年都在增加。

考虑到漏洞的增加,使用 Trivy 扫描 Docker 镜像有很多好处。

一些好处包括:

  1. 识别漏洞:Trivy 可以识别 Docker 镜像中使用的包中的漏洞。这在基本镜像修补和应用程序镜像构建中特别有用。
  2. 改善安全状况:通过扫描镜像中的漏洞,可以改善组织的安全状况。
  3. 安全合规性:作为安全合规性的一部分,许多组织需要检查其 Docker 镜像是否存在漏洞。您可以在 Trivy 的帮助下达到这些标准。

结论

在开发过程中以及 CI/CD 过程中,必须扫描 Docker 镜像漏洞。这可确保您遵循良好的 DevSecOps 原则并实施最佳实践,以在基于 Docker 的环境中保持强大的安全性。

yule.yang
关注
  • 23
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
云原生安全镜像漏洞扫描工具Trivy使用指南
SHELLCODE_8BIT的博客
09-21 983
Trivy是一个简单而全面的扫描器,用于检测容器镜像、文件系统和Git存储库中的漏洞以及配置问题。Trivy检测操作系统包(Alpine、RHEL、CentOS 等)和特定编程语言包(Bundler、Composer、npm、yarn 等)的漏洞。此外,Trivy扫描基础设施即代码 (IaC) 文件,例如 Terraform、Dockerfile 和Kubernetes,从中发现部署中面临攻击风险和潜在配置问题的等。Trivy易于使用
详解Maven Docker镜像使用技巧
08-27
主要介绍了详解Maven Docker镜像使用技巧,Maven是目前最流行的Java项目管理工具之一,提供了强大的包依赖管理和应用构建功能。本文以Maven为例介绍了Docker在应用构建中的一些常见技巧。
如何检查 Docker 镜像是否存在漏洞
weixin_56863624的博客
03-27 775
定期检查管道中的漏洞非常重要。要执行的步骤之一是对 Docker 映像执行漏洞扫描。在本博客。
容器镜像安全扫描Trivy
Innocence_0的博客
02-19 962
容器镜像安全扫描Trivy
超实用的容器镜像漏洞检测工具 Trivy 入门指南
easylife206的专栏
03-29 1965
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !Trivy 的特征Trivy 是一种适用于 CI 的简单而全面的容器漏洞扫描程序。软件漏洞是指软件或操作系...
镜像安全扫描建设指南-管理员篇
煜铭2011
04-04 3422
0x00 产品介绍 Trivy是一种适用于CI的简单而全面的容器漏洞扫描程序。软件漏洞是指软件或操作系统中存在的故障、缺陷或弱点。 Trivy检测操作系统包(Alpine、RHEL、CentOS等)和应用程序依赖(Bundler、Composer、npm、yarn等)的漏洞Trivy 扫描器主要有以下几个特点: 检测面很全,能检测全面的漏洞,操作系统软件包(Alpine、Red Hat Universal Base Image、Red Hat Enterprise Linux、Ce.
Trivy离线扫描容器安全实践指南
飞翔沫沫情博客
04-19 1003
使用 fanal 漏洞库,快速查询操作系统版本信息trivy 会提取目标镜像的 ImageID,并根据目标镜像记录的生成关系,计算出其基础镜像的 ImageID。然后,在 fanal.db中保存的 ImageID 进行查询。如果命中,就可以快速确基础镜像对应的操作系统、版本信息等信息。解析基础镜像的系统文件,获得操作系统版本信息。
【转】Docker容器镜像安全最佳实践指南
tpriwwq的专栏
04-16 1858
在企业中信息系统安全与业务是同样重要, 随着传统运维方式向着容器运维方式的转变,当下企业里通常都会采用Docker来进行容器化部署和承载业务。Docker容器安全也是重中之重, 它关乎着应用与数据安全,其中也关乎着宿主机的安全。
Docker面试题
golove666的博客
04-04 1082
Docker高频面试题。
Docker极简教程》--Docker镜像--Docker镜像的管理
喵叔
02-13 1733
有效的管理可以提高开发团队的效率和系统的安全性。首先,建立合理的版本控制和更新策略,确保镜像与基础设施保持同步。其次,利用自动化工具和流程实现持续集成和持续部署,加快软件交付的速度。此外,加强镜像安全管理,定期审查和更新镜像以应对安全威胁。最后,确保团队对镜像使用和管理规范,加强团队协作和沟通。通过这些措施,可以提高镜像管理的效率和质量,推动整个软件开发过程的顺利进行。
使用lnmp一键安装包搭建的docker镜像
01-24
该txt文本文件中有docker镜像百度网盘下载地址与分享码,以及PHP交流群QQ 。 环境组件是 CentOS7+nginx+php7.4+MySQL5.7 ,需要的小伙伴欢迎下载使用! 遇到任何问题,可以通过 QQ 群进行技术交流。
PyCharm使用Docker镜像搭建Python开发环境
12-23
在我们平时使用PyCharm的过程中,一般都是连接本地的Python环境进行开发,但是如果是离线的环境呢?这样就不好搭建Python开发环境,因为第三方模块的依赖复杂,不好通过离线安装包的方式安装。本文将介绍如何利用...
docker镜像制作详细教程
03-20
# docker镜像制作 ## 什么是Docker镜像 + Docker 镜像可以理解为虚拟机模板,虚拟机模板就像停止运行的虚拟机,而 Docker 镜像就像停止运行的容器;作为一名研发人员,则可以将镜像理解为类(Class)。 ## 镜像和...
miniconda docker镜像
08-25
miniconda官方镜像,安装了cron ssh vim 启动方式 docker run -p 8822:22 -v /F/envs:/opt/conda/envs -v /F/IdeaProjects:/tmp/code -d -t -i miniconda:geovis /bin/bash
docker 部署并运行一个微服务
longe20111104的博客
05-08 100
这将会将容器内的3000端口映射到主机的3000端口,你可以根据需要进行修改。现在,你的微服务应该已经成功部署并在Docker容器中运行了。替换为你想要为镜像命名的名称,注意末尾的。替换为你所需的基础Docker镜像。表示Dockerfile的路径。
docker 安装镜像使用命令
qiwunongqingyin的博客
05-05 785
docker pull 容器名:版本号run 运行-d后台运行容器名称环境变量-v 系统地址:docker地址。
Docker 虚拟机 WSL
jiang_changsheng的博客
05-02 914
这样,开发者可以在Windows系统上使用WSL和Docker的组合,获得更好的开发体验和环境一致性。WSL是在Windows系统内部提供Linux环境的一种技术,而VMware虚拟机是通过在物理计算机上创建一个完整的虚拟计算机来运行不同操作系统的技术。然而,需要注意的是,虚拟机也不是绝对安全的,仍然可能存在一些安全风险,如虚拟机逃逸攻击、虚拟机间的侧信道攻击等。虚拟机(如VMware)的安全性相对于Docker和WSL来说可以更高一些,因为虚拟机提供了更强的隔离性和独立性。
OpenSPG docker 安装教程
最新发布
comfly的博客
05-08 548
我最近是想结合chatglm3-6b和知识图谱做一个垂直领域的技术规范的问答系统,过程中也遇到了很多困难,在模型微调上,在数据集收集整理上,在知识图谱的信息抽取上等等,咬咬牙,多学习就可以解决,本文主要写一下利用openspg做技术规范的信息抽取的部署安装过程。OpenSPG是蚂蚁集团结合多年金融领域多元场景知识图谱构建与应用业务经验的总结,并与OpenKG联合推出的基于SPG(Semantic-enhanced Programmable Graph)框架研发的知识图谱引擎。
docker镜像漏洞扫描机制
06-13
Docker镜像漏洞扫描机制主要是通过扫描镜像中的软件包和组件,来发现其中可能存在的漏洞。常见的Docker镜像漏洞扫描工具包括: 1. Clair: 由CoreOS开发的开源漏洞扫描器,支持多个镜像仓库。 2. Anchore: 另一个开源漏洞扫描器,支持多个镜像仓库和自定义策略。 3. Trivy: 由Aqua Security开发的轻量级漏洞扫描器,支持多个镜像仓库和多种输出格式。 这些工具会对镜像中的软件包和组件进行扫描,并与已知的漏洞数据库进行比对,从而发现其中可能存在的漏洞。如果发现了漏洞,这些工具会向用户提供警告或建议的修复措施。在Docker镜像构建和部署过程中,使用这些工具可以帮助用户及时发现和修复镜像中的漏洞,提高应用程序的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值