Trivy
Qu'est-ce que Trivy ?
TrivyScanner open source mono-binaire d'Aqua Security qui detecte CVE, mauvaises configurations, secrets, SBOM et problemes de licence dans les images de conteneurs, les systemes de fichiers, les depots Git et les clusters Kubernetes.
Trivy est un scanner de vulnerabilites et de configuration sous licence Apache 2.0 developpe par Aqua Security, largement adopte comme outil par defaut, dans la mouvance CNCF, des chaines CI/CD de conteneurs. Distribue comme un unique binaire Go, il telecharge chaque jour des bases (NVD, OVAL Red Hat, GitHub Advisory et les flux propres d'Aqua) et analyse les paquets OS, les dependances de langage (npm, PyPI, Maven, modules Go, Cargo, etc.), les Dockerfile, les fichiers Terraform, les manifestes Kubernetes, les charts Helm et les comptes AWS. Il peut produire des SBOM CycloneDX ou SPDX, detecter les cles AWS et jetons GitHub en clair, et s'integre a GitHub Actions, GitLab CI, Jenkins et aux admission controllers via le Trivy Operator. Il est souvent associe a Falco pour couvrir build-time et runtime.
● Exemples
- 01
Executer "trivy image myapp:1.4" en CI pour faire echouer le pipeline en cas de CVE HIGH ou CRITICAL.
- 02
Scanner un plan Terraform avec "trivy config ." pour repérer un bucket S3 publiquement expose.
● Questions fréquentes
Qu'est-ce que Trivy ?
Scanner open source mono-binaire d'Aqua Security qui detecte CVE, mauvaises configurations, secrets, SBOM et problemes de licence dans les images de conteneurs, les systemes de fichiers, les depots Git et les clusters Kubernetes. Cette notion relève de la catégorie Défense et opérations en cybersécurité.
Que signifie Trivy ?
Scanner open source mono-binaire d'Aqua Security qui detecte CVE, mauvaises configurations, secrets, SBOM et problemes de licence dans les images de conteneurs, les systemes de fichiers, les depots Git et les clusters Kubernetes.
Comment fonctionne Trivy ?
Trivy est un scanner de vulnerabilites et de configuration sous licence Apache 2.0 developpe par Aqua Security, largement adopte comme outil par defaut, dans la mouvance CNCF, des chaines CI/CD de conteneurs. Distribue comme un unique binaire Go, il telecharge chaque jour des bases (NVD, OVAL Red Hat, GitHub Advisory et les flux propres d'Aqua) et analyse les paquets OS, les dependances de langage (npm, PyPI, Maven, modules Go, Cargo, etc.), les Dockerfile, les fichiers Terraform, les manifestes Kubernetes, les charts Helm et les comptes AWS. Il peut produire des SBOM CycloneDX ou SPDX, detecter les cles AWS et jetons GitHub en clair, et s'integre a GitHub Actions, GitLab CI, Jenkins et aux admission controllers via le Trivy Operator. Il est souvent associe a Falco pour couvrir build-time et runtime.
Comment se défendre contre Trivy ?
Les défenses contre Trivy combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Trivy ?
Noms alternatifs courants : Aqua Trivy.
● Termes liés
- defense-ops№ 212
Analyse d'images de conteneurs
Pratique consistant a analyser des images OCI/Docker pour y reperer vulnerabilites connues, secrets, malwares et violations de politique avant deploiement vers un runtime de conteneurs.
- vulnerabilities№ 259
CVE (Common Vulnerabilities and Exposures)
Catalogue public attribuant un identifiant unique à chaque vulnérabilité divulguée afin de la référencer sans ambiguïté dans toute l'industrie.
- defense-ops№ 403
Falco
Moteur open source de securite runtime cloud-native qui detecte les comportements anormaux des conteneurs, des hotes et de Kubernetes en transmettant les appels systeme et les evenements d'audit a un moteur de regles.