Trivy
¿Qué es Trivy?
TrivyEscaner de codigo abierto y binario unico de Aqua Security que detecta CVE, malas configuraciones, secretos, SBOM y problemas de licencia en imagenes de contenedor, ficheros, repositorios Git y clusters Kubernetes.
Trivy es un escaner Apache 2.0 de vulnerabilidades y configuracion desarrollado por Aqua Security, adoptado como opcion por defecto en CI/CD de contenedores compatible con la filosofia CNCF. Distribuido como un unico binario en Go, descarga bases de datos actualizadas diariamente (NVD, OVAL de Red Hat, GitHub Advisory y los feeds propios de Aqua) y analiza paquetes del sistema, dependencias de lenguaje (npm, PyPI, Maven, modulos Go, Cargo, etc.), Dockerfiles, Terraform, manifiestos Kubernetes, charts Helm y cuentas AWS. Puede generar SBOM en CycloneDX o SPDX, detectar claves AWS y tokens GitHub embebidos, y se integra en GitHub Actions, GitLab CI, Jenkins y en admission controllers mediante el Trivy Operator. Suele acompanarse de Falco para cubrir build-time y runtime.
● Ejemplos
- 01
Ejecutar "trivy image myapp:1.4" en CI para fallar el pipeline ante cualquier CVE HIGH o CRITICAL.
- 02
Analizar un plan Terraform con "trivy config ." y detectar un bucket S3 expuesto publicamente.
● Preguntas frecuentes
¿Qué es Trivy?
Escaner de codigo abierto y binario unico de Aqua Security que detecta CVE, malas configuraciones, secretos, SBOM y problemas de licencia en imagenes de contenedor, ficheros, repositorios Git y clusters Kubernetes. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Trivy?
Escaner de codigo abierto y binario unico de Aqua Security que detecta CVE, malas configuraciones, secretos, SBOM y problemas de licencia en imagenes de contenedor, ficheros, repositorios Git y clusters Kubernetes.
¿Cómo funciona Trivy?
Trivy es un escaner Apache 2.0 de vulnerabilidades y configuracion desarrollado por Aqua Security, adoptado como opcion por defecto en CI/CD de contenedores compatible con la filosofia CNCF. Distribuido como un unico binario en Go, descarga bases de datos actualizadas diariamente (NVD, OVAL de Red Hat, GitHub Advisory y los feeds propios de Aqua) y analiza paquetes del sistema, dependencias de lenguaje (npm, PyPI, Maven, modulos Go, Cargo, etc.), Dockerfiles, Terraform, manifiestos Kubernetes, charts Helm y cuentas AWS. Puede generar SBOM en CycloneDX o SPDX, detectar claves AWS y tokens GitHub embebidos, y se integra en GitHub Actions, GitLab CI, Jenkins y en admission controllers mediante el Trivy Operator. Suele acompanarse de Falco para cubrir build-time y runtime.
¿Cómo defenderse de Trivy?
Las defensas contra Trivy combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Trivy?
Nombres alternativos comunes: Aqua Trivy.
● Términos relacionados
- defense-ops№ 212
Escaneo de imagenes de contenedor
Practica de analizar imagenes OCI/Docker en busca de vulnerabilidades conocidas, secretos, malware e infracciones de politica antes de desplegarlas en un runtime de contenedores.
- vulnerabilities№ 259
CVE (Common Vulnerabilities and Exposures)
Catálogo público que asigna un identificador único a cada vulnerabilidad divulgada para referenciarla de forma inequívoca en todo el sector.
- defense-ops№ 403
Falco
Motor de seguridad en tiempo de ejecucion cloud-native de codigo abierto que detecta comportamientos anomalos en contenedores, hosts y Kubernetes transmitiendo syscalls y eventos de auditoria a un motor de reglas.