概要
Trivy はオープンソースの脆弱性チェックツールです
今回はインストールから簡単な実行方法まで紹介します
環境
- Ubuntu 18.04
- trivy 0.35.0
インストール
-
sudo apt-get install wget apt-transport-https gnupg lsb-release
-
wget -qO - https://aquasecurity.github.io/trivy-repo/deb/public.key | gpg --dearmor | sudo tee /usr/share/keyrings/trivy.gpg > /dev/null
-
echo "deb [signed-by=/usr/share/keyrings/trivy.gpg] https://aquasecurity.github.io/trivy-repo/deb $(lsb_release -sc) main" | sudo tee -a /etc/apt/sources.list.d/trivy.list
-
sudo apt-get update
-
sudo apt-get install trivy
docker イメージのスキャン
- trivy image python:3.10.2-buster
ローカルにあるファイルをスキャン
-
trivy fs --security-checks vuln,secret,config proj/path/to/secret.py
-
trivy fs --security-checks vuln,secret,config proj/path/to/docker
-
trivy fs --security-checks vuln,secret,config proj/path/to/Pipfilie.lock
シークレットなどを管理している python ファイルを指定したり Pipfile.lock や Dockerfile がある場所を指定します
再帰的にスキャンするには
どうやらないようです
https://github.com/aquasecurity/trivy/issues/1302
スキャン対象のファイルを特定して指定するしかないようです
最後に
Trivy を試してみました
インストールから実行するまではかなり簡単に試せるようです
基本的にはイメージにしてからそれをスキャンする形になると思います
がイメージによっては本質ではない ImageMagic やら関係のない CVE ばかり出てくるのでチェック対象を絞ってスキャンをする必要がありそうです
0 件のコメント:
コメントを投稿