在云原生安全的场景中，一个常见的场景就是对漏洞和配置进行扫描，以发现整个 K8s 环境的安全问题。今天我们来介绍一个高效的扫描工具Trivy。

Trivy 是什么

• Trivy（tri 发音为 trigger，vy 发音为 envy）是一个简单而全面的漏洞/错误配置扫描器，用于容器和 K8s 环境。
• 软件漏洞是软件或操作系统中存在的故障、缺陷或弱点。
• Trivy 检测操作系统包（Alpine、RHEL、CentOS 等）和特定语言包（Bundler、Composer、npm、yarn 等）的漏洞。
• 此外，Trivy 会扫描基础设施即代码 (IaC) 文件，例如 Terraform 和 Kubernetes，以检测使您的部署面临攻击风险的潜在配置问题。
• Trivy 易于使用。只需安装二进制文件，您就可以开始扫描了。扫描所需要做的就是指定一个目标，例如容器的镜像名称。

Trivy 的类型

Trivy 检测两种类型的安全问题 ：

• 漏洞
• 配置错误

Trivy 可以扫描三种不同的对象：

• 容器镜像
• 文件系统
• Git 仓库

Trivy 可以在两种不同的模式下运行：

• standalone
• server-client

Trivy 的特征

全面的漏洞检测

涵盖操作系统包操作系统包、开语言、错误配置、策略等内容。

简单

仅指定镜像名称、包含 IaC 配置的目录或工件名称

快速

理想情况下可以在几十秒内完成扫描动作。

易于安装

是一个简易的执行工具，apt-get install,yum install，brew install 均可安装，没有前置条件，如安装DB的，依赖库等

高精确度

特别是 Alpine Linux 和 RHEL/CentOS，其他操作系统也高。

Trivy 的安装

Yum 源方式安装

# Yum 源方式安装

$ sudo vim /etc/yum.repos.d/trivy.repo[trivy]name=Trivy repositorybaseurl=https://aquasecurity.github.io/trivy-repo/rpm/releases/$releasever/$basearch/gpgcheck=0enabled=1$ sudo yum -y update$ sudo yum -y install trivy

rpm 方式安装

rpm -ivh https://github.com/aquasecurity/trivy/releases/download/v0.19.2/trivy_0.19.2_Linux-64bit.rpm

二进制方式安装

mkdir -p $GOPATH/src/github.com/aquasecuritycd 
$GOPATH/src/github.com/aquasecuritygit clone --depth 1 --branch v0.19.2 https://github.com/aquasecurity/trivy
cd trivy/cmd/trivy/
export GO111MODULE=ongo 
install

快速执行

trivy <target> [--security-checks <scanner1,scanner2>] <subject>

例如

trivy image nginx:1.16

Trivy 过滤漏洞

默认情况下， Trivy还会检测未修补/未修复的漏洞。这意味着即使您更新所有软件包，您也无法修复这些漏洞。如果您想忽略它们，请使用该--ignore-unfixed选项。

隐藏未修复得漏洞

# trivy image --ignore-unfixed nginx:1.16

按严重程度, 使用--severity选项

# trivy image --severity HIGH,CRITICAL  nginx:1.16

按漏洞ID, 使用.trivyignore

# cat .trivyignore# Accept the riskCVE-2018-14618# No impact in our settingsCVE-2019-1543# trivy image  nginx:1.16

按类型, 使用--vuln-type选项

# trivy image --vuln-type os  nginx:1.16

Trivy 漏洞报告格式

指定输出格式为表格（默认）

# trivy image -f table nginx:1.16

指定输出格式为 json

# trivy image -f json -o results.json nginx:1.16

Trivy 项目信息

Github 项目地址：
https://github.com/aquasecurity/trivy

关于HummerRisk

HummerRisk 是开源的云原生安全平台，以非侵入的方式解决云原生的安全和治理问题，核心能力包括混合云的安全治理和K8S容器云安全检测。