項目地址
https://github.com/knqyf263/trivyTrivy 是一個面向鏡像的漏洞檢測工具,具備如下特點:
開源
免費
易用
準確度高
CI 友好
相對于老前輩 Clair,Trivy 的使用非常直觀方便,適用于更多的場景。
下面是官方出具的對比表格:
安裝
MacOS
$ brew tap knqyf263/trivy $ brew install knqyf263/trivy/trivy
RHEL/CentOS
$ sudo vim /etc/yum.repos.d/trivy.repo [trivy] name=Trivy repository baseurl=https://knqyf263.github.io/trivy-repo/rpm/releases/$releasever/$basearch/ gpgcheck=0 enabled=1 $ sudo yum -y update $ sudo yum -y install trivy使用
這個工具的最大閃光點就是提供了很多適合用在自動化場景的用法。
掃描鏡像:
$ trivy centos
掃描鏡像文件
$ docker save ruby:2.3.0-alpine3.9 -o ruby-2.3.0.tar $ trivy --input ruby-2.3.0.tar
根據嚴重程度進行過濾
$ trivy --severity HIGH,CRITICAL ruby:2.3.0
忽略未修復問題
$ trivy --ignore-unfixed ruby:2.3.0
忽略特定問題
使用 .trivyignore:
$ cat .trivyignore # Accept the risk CVE-2018-14618 # No impact in our settings CVE-2019-1543 $ trivy python:3.4-alpine3.9
使用 JSON 輸出結果
$ trivy -f json dustise/translat-chatbot:20190428-5
定義返回值
$ trivy --exit-code 0 --severity MEDIUM,HIGH ruby:2.3.0 $ trivy --exit-code 1 --severity CRITICAL ruby:2.3.0總結
相對于其它同類工具,Trivy 非常適合自動化操作,從 CircleCI 之類的公有服務,到企業內部使用的 Jenkins、Gitlab 等私有工具,或者作為開發運維人員的自測環節,都有 Trivy 的用武之地。
責任編輯:彭菁
聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。
舉報投訴
-
漏洞
+關注
關注
0文章
200瀏覽量
15135 -
鏡像
+關注
關注
0文章
155瀏覽量
10600 -
檢測工具
+關注
關注
0文章
20瀏覽量
1967
原文標題:一款全面易用的鏡像漏洞檢測工具
文章出處:【微信號:菜鳥學信安,微信公眾號:菜鳥學信安】歡迎添加關注!文章轉載請注明出處。
發布評論請先 登錄
相關推薦
邦納基于iVu的彩色視覺檢測工具
美國邦納在 iVu原有功能基礎上開發了彩色視覺檢測工具,以滿足基于彩色檢測的應用需求。同時由于原有檢測工具的存在,因此新型號產品將能滿足更多客戶的檢測需求。
發表于 07-03 08:39
?1472次閱讀
淺析Linux系統開源漏洞檢測工具
jSQL是一款輕量級安全測試工具,可以檢測SQL注入漏洞。它跨平臺(Windows, Linux, Mac OS X, Solaris)、開源且免費。
發表于 07-23 07:21
MyDiskTest下載 2.93 (U盤擴容檢測工具)最新
第一款真正意義上的U盤擴容檢測工具:集5大功能于一身:擴容檢測、壞塊掃描、速度測試、老化測試、壞塊屏蔽
MyDiskTest是一款U盤/SD卡/CF卡等移動存儲產品擴容識別工具???/div>
發表于 04-24 13:49
?107次下載
U盤擴容檢測工具-軟件
U盤擴容檢測工具:第一款真正意義上的U盤擴容檢測工具
集5大功能于一身:擴容檢測、壞塊掃描、速度測試、老化測試、壞塊屏蔽MyDiskTest是一款U盤/SD卡/CF卡等移動存儲產
發表于 04-28 17:28
?51次下載
ATTO Disk Benchmark32——U盤檢測工具
電子發燒友網站提供《ATTO Disk Benchmark32——U盤檢測工具.exe》資料免費下載
發表于 08-25 18:13
?8次下載
一款全面易用的鏡像漏洞檢測工具
相對于其它同類工具,Trivy 非常適合自動化操作,從 CircleCI 之類的公有服務,到企業內部使用的 Jenkins、Gitlab 等私有工具,或者作為開發運維人員的自測環節,都有 Tr
評論