Trivy
Trivy 是什么?
Trivy由 Aqua Security 提供的开源单一二进制扫描器,可在容器镜像、文件系统、Git 仓库和 Kubernetes 集群中发现 CVE、配置错误、机密、SBOM 与许可证问题。
Trivy 是 Aqua Security 开发的 Apache 2.0 漏洞与配置扫描器,广泛用作容器 CI/CD 中符合 CNCF 风格的默认工具。它以单个 Go 二进制分发,每日下载更新的漏洞数据库(NVD、Red Hat OVAL、GitHub Advisory 以及 Aqua 自有源),可扫描操作系统包、语言依赖(npm、PyPI、Maven、Go 模块、Cargo 等)、Dockerfile、Terraform、Kubernetes 清单、Helm Chart 和 AWS 账号。它能生成 CycloneDX 或 SPDX 格式的 SBOM,识别硬编码的 AWS 密钥与 GitHub 令牌,并通过 Trivy Operator 接入 GitHub Actions、GitLab CI、Jenkins 与准入控制器。Trivy 常与 Falco 配合,实现构建期与运行期的双重覆盖。
● 示例
- 01
在 CI 中运行 "trivy image myapp:1.4",任何 HIGH 或 CRITICAL 级别的 CVE 都会失败流水线。
- 02
使用 "trivy config ." 扫描 Terraform 计划,发现一个公开暴露的 S3 桶。
● 常见问题
Trivy 是什么?
由 Aqua Security 提供的开源单一二进制扫描器,可在容器镜像、文件系统、Git 仓库和 Kubernetes 集群中发现 CVE、配置错误、机密、SBOM 与许可证问题。 它属于网络安全的 防御与运营 分类。
Trivy 是什么意思?
由 Aqua Security 提供的开源单一二进制扫描器,可在容器镜像、文件系统、Git 仓库和 Kubernetes 集群中发现 CVE、配置错误、机密、SBOM 与许可证问题。
Trivy 是如何工作的?
Trivy 是 Aqua Security 开发的 Apache 2.0 漏洞与配置扫描器,广泛用作容器 CI/CD 中符合 CNCF 风格的默认工具。它以单个 Go 二进制分发,每日下载更新的漏洞数据库(NVD、Red Hat OVAL、GitHub Advisory 以及 Aqua 自有源),可扫描操作系统包、语言依赖(npm、PyPI、Maven、Go 模块、Cargo 等)、Dockerfile、Terraform、Kubernetes 清单、Helm Chart 和 AWS 账号。它能生成 CycloneDX 或 SPDX 格式的 SBOM,识别硬编码的 AWS 密钥与 GitHub 令牌,并通过 Trivy Operator 接入 GitHub Actions、GitLab CI、Jenkins 与准入控制器。Trivy 常与 Falco 配合,实现构建期与运行期的双重覆盖。
如何防御 Trivy?
针对 Trivy 的防御通常结合技术控制与运营实践,详见上方完整定义。
Trivy 还有哪些其他名称?
常见的别称包括: Aqua Trivy。