?
🔥「炎碼工坊」技術彈藥已裝填!
點擊關注 → 解鎖工業級干貨【工具實測|項目避坑|源碼燃燒指南】
?
——手把手帶你掌握容器安全核心工具
一、安裝配置:三步完成 Trivy 部署
Trivy 是由 Aqua Security 開發的開源容器安全工具,支持快速掃描鏡像、文件系統、Kubernetes 等資源中的安全漏洞。以下是針對初學者的安裝與配置指南。
1. 安裝 Trivy
Linux 環境安裝(以 Ubuntu 為例)
#?添加?Trivy?官方倉庫密鑰??
sudo?apt-get?install?-y?wget?apt-transport-https?gnupg??
wget?-qO?-?https://aquasecurity.github.io/trivy-repo/deb/public.key?|?sudo?apt-key?add?-??#?配置倉庫并安裝??
echo?"deb?https://aquasecurity.github.io/trivy-repo/deb?$(lsb_release?-sc)?main"?|?sudo?tee?-a?/etc/apt/sources.list.d/trivy.list??
sudo?apt-get?update?&&?sudo?apt-get?install?-y?trivy??#?驗證安裝??
trivy?--version??Windows 環境安裝
通過?Chocolatey[1]?安裝:?
choco?install?trivyDocker 方式運行
docker?run?aquasec/trivy:latest?--version2. 配置國內鏡像加速(解決數據庫下載慢問題)
首次運行 Trivy 會自動下載漏洞數據庫(trivy-db),由于數據庫托管在 GitHub,國內用戶可能遇到下載緩慢問題。
解決方案:
#?配置國內鏡像源(如清華大學鏡像)??
trivy?--db-repository?ghcr.nju.edu.cn/aquasecurity/trivy-db:2?image?nginx:alpine3. 基礎掃描測試
#?掃描本地鏡像??
trivy?image?nginx:latest??#?輸出示例(終端顯示結果)??
[INF]?Detected?OS:?alpine??
[HIGH]?CVE-2023-1234?[httpd]?→?Fixed?in?2.4.56-r0??二、核心功能演示:從基礎到高級實踐
1. 基礎掃描功能
掃描本地 Docker 鏡像
trivy?image?redis:6.0.9??掃描遠程倉庫鏡像
trivy?image?docker.io/library/ubuntu:20.04??輸出格式定制化
#?生成?JSON?報告??
trivy?image?-f?json?-o?results.json?nginx:latest??#?生成?HTML?可視化報告??
trivy?image?--format?template?--template?"@/usr/share/trivy/templates/html.tpl"?-o?report.html?nginx:latest2. 高級功能實踐
按漏洞嚴重級別過濾
#?僅掃描高危和緊急漏洞??
trivy?image?--severity?HIGH,CRITICAL?nginx:latest??離線掃描模式(適用于無網絡環境)
#?預先下載漏洞庫??
trivy?--cache-dir?/path/to/cache?update??#?使用本地緩存掃描??
trivy?--cache-dir?/path/to/cache?--skip-db-update?image?nginx:latest??CI/CD 集成:阻斷高危漏洞提交
#?在?GitHub?Actions?中配置??
trivy?image?--exit-code?1?--severity?CRITICAL?nginx:latest??三、常見問題排查:典型錯誤與解決方案
1. 漏洞數據庫下載失敗
現象:
FATAL?failed?to?download?vulnerability?DB:?unable?to?connect?to?GitHub??解決方法:
- 配置代理
export?HTTP_PROXY="http://proxy.example.com:8080"?? - 手動下載數據庫
trivy?--download-db-only?--db-repository?ghcr.nju.edu.cn/aquasecurity/trivy-db:2??
2. 掃描結果為空或不完整
原因:
- 鏡像未正確加載(如鏡像名稱拼寫錯誤)?
- 漏洞庫未更新(超過 12 小時未更新)
修復:
#?強制更新漏洞庫??
trivy?--clear-cache?&&?trivy?--cache-dir?/root/.cache/trivy?update??3. 權限不足導致掃描失敗
Linux 環境
確保用戶有訪問 Docker 套接字權限:?
sudo?usermod?-aG?docker?$USER??Windows 環境
以管理員身份運行 PowerShell 或 CMD。
四、可視化流程圖:Trivy 工作流解析
?
五、專有名詞說明表
| 術語 | 解釋 |
| CVE | 通用漏洞與暴露標識符,國際標準漏洞編號(如 CVE-2023-1234) |
| OCI | 開放容器倡議(Open Container Initiative),定義容器鏡像和運行時規范 |
| CI/CD | 持續集成/持續交付,自動化軟件開發流程 |
| trivy-db | Trivy 使用的漏洞數據庫,包含 OS 和語言層漏洞數據 |
| Alpine | 輕量級 Linux 發行版,常用于容器鏡像 |
| Docker Hub | Docker 官方鏡像倉庫,存儲公共鏡像 |
| GitHub Actions | GitHub 提供的 CI/CD 服務,支持自動化構建和測試 |
總結
通過本文的三步指南,您已掌握 Trivy 的核心使用方法和常見問題解決方案。作為云原生安全的基石工具,Trivy 的易用性和高效性使其成為 DevOps 流程中不可或缺的一環。后續可進一步探索其 Kubernetes 安全掃描、SBOM(軟件物料清單)生成等高級功能。
引用鏈接
[1]?Chocolatey:?https://chocolatey.org/
?
🚧 您已閱讀完全文99%!缺少1%的關鍵操作:
加入「炎碼燃料倉」
🚀 獲得:
√ 開源工具紅黑榜 √ 項目落地避坑指南
√ 每周BUG修復進度+1%彩蛋
(溫馨提示:本工坊不打灰工,只燒腦洞🔥)
?
)
)
:ROS入門指南 —— 核心解析與版本演進)
進程(2))
