Trivy
O que é Trivy?
TrivyScanner open source de binario unico da Aqua Security que encontra CVEs, ma configuracao, segredos, SBOM e problemas de licenca em imagens de contentor, sistemas de ficheiros, repositorios Git e clusters Kubernetes.
O Trivy e um scanner Apache 2.0 de vulnerabilidades e configuracao desenvolvido pela Aqua Security, amplamente adotado como ferramenta predefinida em pipelines CI/CD de contentores alinhadas com a CNCF. Distribuido como um unico binario em Go, faz download diario de bases de dados (NVD, OVAL da Red Hat, GitHub Advisory e feeds proprios da Aqua) e analisa pacotes do SO, dependencias de linguagem (npm, PyPI, Maven, modulos Go, Cargo, etc.), Dockerfiles, Terraform, manifestos Kubernetes, charts Helm e contas AWS. Pode gerar SBOMs CycloneDX ou SPDX, detetar chaves AWS e tokens GitHub embutidos, e integra-se com GitHub Actions, GitLab CI, Jenkins e admission controllers atraves do Trivy Operator. E frequentemente combinado com o Falco para cobrir build-time e runtime.
● Exemplos
- 01
Executar "trivy image myapp:1.4" no CI para falhar o pipeline em qualquer CVE HIGH ou CRITICAL.
- 02
Analisar um plano Terraform com "trivy config ." para detetar um bucket S3 publicamente exposto.
● Perguntas frequentes
O que é Trivy?
Scanner open source de binario unico da Aqua Security que encontra CVEs, ma configuracao, segredos, SBOM e problemas de licenca em imagens de contentor, sistemas de ficheiros, repositorios Git e clusters Kubernetes. Pertence à categoria Defesa e operações da cibersegurança.
O que significa Trivy?
Scanner open source de binario unico da Aqua Security que encontra CVEs, ma configuracao, segredos, SBOM e problemas de licenca em imagens de contentor, sistemas de ficheiros, repositorios Git e clusters Kubernetes.
Como funciona Trivy?
O Trivy e um scanner Apache 2.0 de vulnerabilidades e configuracao desenvolvido pela Aqua Security, amplamente adotado como ferramenta predefinida em pipelines CI/CD de contentores alinhadas com a CNCF. Distribuido como um unico binario em Go, faz download diario de bases de dados (NVD, OVAL da Red Hat, GitHub Advisory e feeds proprios da Aqua) e analisa pacotes do SO, dependencias de linguagem (npm, PyPI, Maven, modulos Go, Cargo, etc.), Dockerfiles, Terraform, manifestos Kubernetes, charts Helm e contas AWS. Pode gerar SBOMs CycloneDX ou SPDX, detetar chaves AWS e tokens GitHub embutidos, e integra-se com GitHub Actions, GitLab CI, Jenkins e admission controllers atraves do Trivy Operator. E frequentemente combinado com o Falco para cobrir build-time e runtime.
Como se defender contra Trivy?
As defesas contra Trivy costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Trivy?
Nomes alternativos comuns: Aqua Trivy.
● Termos relacionados
- defense-ops№ 212
Analise de imagens de contentor
Pratica de analisar imagens OCI/Docker em busca de vulnerabilidades conhecidas, segredos, malware e violacoes de politica antes de serem implantadas num runtime de contentores.
- vulnerabilities№ 259
CVE (Common Vulnerabilities and Exposures)
Catálogo público que atribui um identificador único a cada vulnerabilidade divulgada para que possa ser referenciada de forma inequívoca em toda a indústria.
- defense-ops№ 403
Falco
Motor open source de seguranca em tempo de execucao cloud-native que deteta comportamento anomalo em contentores, hosts e Kubernetes, enviando syscalls e eventos de auditoria para um motor de regras.