Trivy
Was ist Trivy?
TrivyQuelloffener Single-Binary-Scanner von Aqua Security, der CVEs, Fehlkonfigurationen, Secrets, SBOM-Daten und Lizenzprobleme in Container-Images, Dateisystemen, Git-Repos und Kubernetes-Clustern findet.
Trivy ist ein unter Apache 2.0 lizenzierter Schwachstellen- und Konfigurationsscanner von Aqua Security und der in CNCF-nahen Container-CI/CD-Pipelines verbreitete Standard. Als einzelne Go-Binary verteilt, zieht er taglich aktualisierte Schwachstellendatenbanken (NVD, Red Hat OVAL, GitHub Advisory, eigene Aqua-Feeds) und scannt OS-Pakete, Sprachabhangigkeiten (npm, PyPI, Maven, Go-Module, Cargo etc.), Dockerfiles, Terraform, Kubernetes-Manifeste, Helm-Charts und AWS-Konten. Er kann CycloneDX- oder SPDX-SBOMs erzeugen, hartkodierte AWS-Keys und GitHub-Tokens erkennen und integriert sich uber den Trivy Operator in GitHub Actions, GitLab CI, Jenkins und Admission-Controller. Trivy wird haufig mit Falco kombiniert, um Build- und Laufzeit abzudecken.
● Beispiele
- 01
Im CI "trivy image myapp:1.4" ausfuhren, um die Pipeline bei jeder HIGH- oder CRITICAL-CVE fallenzulassen.
- 02
Einen Terraform-Plan mit "trivy config ." prufen und einen offentlich freigegebenen S3-Bucket finden.
● Häufige Fragen
Was ist Trivy?
Quelloffener Single-Binary-Scanner von Aqua Security, der CVEs, Fehlkonfigurationen, Secrets, SBOM-Daten und Lizenzprobleme in Container-Images, Dateisystemen, Git-Repos und Kubernetes-Clustern findet. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet Trivy?
Quelloffener Single-Binary-Scanner von Aqua Security, der CVEs, Fehlkonfigurationen, Secrets, SBOM-Daten und Lizenzprobleme in Container-Images, Dateisystemen, Git-Repos und Kubernetes-Clustern findet.
Wie funktioniert Trivy?
Trivy ist ein unter Apache 2.0 lizenzierter Schwachstellen- und Konfigurationsscanner von Aqua Security und der in CNCF-nahen Container-CI/CD-Pipelines verbreitete Standard. Als einzelne Go-Binary verteilt, zieht er taglich aktualisierte Schwachstellendatenbanken (NVD, Red Hat OVAL, GitHub Advisory, eigene Aqua-Feeds) und scannt OS-Pakete, Sprachabhangigkeiten (npm, PyPI, Maven, Go-Module, Cargo etc.), Dockerfiles, Terraform, Kubernetes-Manifeste, Helm-Charts und AWS-Konten. Er kann CycloneDX- oder SPDX-SBOMs erzeugen, hartkodierte AWS-Keys und GitHub-Tokens erkennen und integriert sich uber den Trivy Operator in GitHub Actions, GitLab CI, Jenkins und Admission-Controller. Trivy wird haufig mit Falco kombiniert, um Build- und Laufzeit abzudecken.
Wie schützt man sich gegen Trivy?
Schutzmaßnahmen gegen Trivy kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Trivy?
Übliche alternative Bezeichnungen: Aqua Trivy.
● Verwandte Begriffe
- defense-ops№ 212
Container-Image-Scanning
Praxis, OCI/Docker-Images vor dem Deployment auf bekannte Schwachstellen, Secrets, Malware und Richtlinienverstosse zu prufen.
- vulnerabilities№ 259
CVE (Common Vulnerabilities and Exposures)
Öffentlicher Katalog, der jeder offengelegten Software- oder Hardware-Schwachstelle einen eindeutigen Bezeichner zuweist, um sie branchenweit eindeutig zu referenzieren.
- defense-ops№ 403
Falco
Quelloffene Cloud-Native-Runtime-Security-Engine, die ungewohnliches Verhalten in Containern, Hosts und Kubernetes erkennt, indem sie Syscalls und Audit-Events durch ein Regelwerk streamt.