aquasecurity / trivy
用于在容器、Kubernetes、代码仓库、云等环境中发现漏洞、错误配置、敏感信息、SBOM 等问题的工具 ([GitHub][1])
📖 文档
Trivy(发音)是一个全面且通用的安全扫描器。 Trivy 包含多种扫描器,用于查找安全问题,并支持多种目标对象进行扫描。 ([GitHub][1])
扫描目标(Trivy 可以扫描什么)
- 容器镜像(Container Image)
- 文件系统(Filesystem)
- Git 仓库(远程)
- 虚拟机镜像(Virtual Machine Image)
- Kubernetes ([GitHub][1])
扫描内容(Trivy 可以发现什么)
- 操作系统软件包及依赖(SBOM)
- 已知漏洞(CVEs)
- IaC(基础设施即代码)问题和错误配置
- 敏感信息和密钥(Secrets)
- 软件许可证 ([GitHub][1])
Trivy 支持大多数主流编程语言、操作系统和平台。 完整列表请参阅 Scanning Coverage 页面。 ([GitHub][1])
要了解更多内容,请访问:
- Trivy 官网(功能亮点)
- 文档站点(详细说明) ([GitHub][1])
🚀 快速开始
安装 Trivy
Trivy 可以通过大多数常见发行渠道安装。完整安装方式请参考 Installation 页面。
常见示例:
brew install trivy
docker run aquasec/trivy
- 从 GitHub Releases 下载二进制文件
- 查看 Installation 获取更多方式 ([GitHub][1])
集成能力
Trivy 已集成到多个主流平台和应用中。
常见示例:
- GitHub Actions
- Kubernetes Operator
- VS Code 插件
- 更多见 Ecosystem 页面 ([GitHub][1])
🧪 Canary 构建
每次向主分支提交代码时,都会生成 Canary 构建(Docker Hub、GitHub、ECR 镜像和二进制)。
⚠️ 注意: Canary 构建可能包含严重 bug,不建议在生产环境中使用。 ([GitHub][1])
⚙️ 通用用法
trivy <target> [--scanners <scanner1,scanner2>] <subject>
示例
扫描容器镜像:
trivy image python:3.4-alpine
扫描文件系统:
trivy fs --scanners vuln,secret,misconfig myproject/
扫描 Kubernetes:
trivy k8s --report summary cluster
([GitHub][1])
❓ FAQ
“Trivy” 如何发音?
- “tri” 发音类似 “trigger”
- “vy” 发音类似 “envy” ([GitHub][1])
❤️ 想了解更多?了解 Aqua
如果你喜欢 Trivy,你也会喜欢 Aqua(在 Trivy 基础上构建的完整安全管理产品)。
你可以查看:
- 针对 Trivy 用户的对比说明
- Aqua 官网获取更多产品与服务信息
- 申请演示 ([GitHub][1])
🌍 社区
Trivy 是 Aqua Security 的开源项目。
- 可在 GitHub Discussions 中交流
- 了解更多开源项目组合
- 提交问题或反馈 ([GitHub][1])
📌 项目说明(About)
用于在以下环境中查找安全问题:
- 容器
- Kubernetes
- 代码仓库
- 云环境
包括:漏洞、错误配置、敏感信息、SBOM 等 ([GitHub][1])
🏷️ 标签(Topics)
- Go
- Docker
- Kubernetes
- 安全(security)
- 容器(containers)
- IaC
- 漏洞扫描(vulnerability scanning)
- DevSecOps
- 错误配置(misconfiguration) ([GitHub][1])
📜 许可证
Apache-2.0 License ([GitHub][1])
