trivy【1】漏洞扫描工具安装
trivy 漏洞扫描工具安装
tags: 安全,trivy
文章目录
- trivy 漏洞扫描工具安装
- 1. 简介
- 2. 特征
- 3. 安装
- 3.1 RHEL/CentOS
- 3.2 Debian/Ubuntu
- 3.3 Arch Linux
- 3.4 Homebrew
- 3.5 脚本安装
- 3.6 Docker
- 3.7 Helm
{% youtube %}
https://www.youtube.com/watch?v=bgYrhQ6rTXA
{% endyoutube %}
1. 简介
Trivy 是一个简单而全面的漏洞/错误配置/秘密扫描器,用于容器和其他工件。 检测操作系统包(Alpine、RHEL、CentOS 等)和特定语言包(Bundler、Composer、npm、yarn 等)的漏洞。此外,扫描Terraform 和 Kubernetes 等基础架构即代码 (IaC) 文件,以检测使您的部署面临攻击风险的潜在配置问题。 还扫描硬编码的秘密vyTrivyTrivyTrivy比如密码、API 密钥和令牌。 Trivy易于使用。只需安装二进制文件,您就可以扫描了。扫描所需要做的就是指定一个目标,例如容器的image名称
Trivy 检测到两种类型的安全问题:
- 漏洞
- 错误配置
Trivy 可以扫描四种不同的工件:
- 容器镜像
- 文件系统和Rootfs
- Git 存储库
- Kubernetes
Trivy 可以在两种不同的模式下运行:
- Standalone
- Client/Server
Trivy 可以作为 Kubernetes Operator 运行:
- Kubernetes Operator
2. 特征
全面的漏洞检测
- 操作系统包(Alpine、Red Hat Universal Base Image、Red Hat Enterprise
Linux、CentOS、AlmaLinux、Rocky Linux、CBL-Mariner、Oracle
Linux、Debian、Ubuntu、Amazon Linux、openSUSE Leap、SUSE Enterprise
Linux、Photon OS 和 Distroless) - 特定于语言的包(Bundler、Composer、Pipenv、Poetry、npm、yarn、pnpm、Cargo、NuGet、Maven
和 Go)
检测 IaC 错误配置
开箱即用地提供了多种内置策略:
- Kubernetes
- docker
- Terraform
支持自定义策略
简单
- 仅指定镜像名称、包含 IaC 配置的目录或工件名称
快速
- 第一次扫描将在 10 秒内完成(取决于您的网络)。随后的扫描将在几秒钟内完成。
- 与其他扫描程序在第一次运行时需要很长时间(约 10 分钟)获取漏洞信息并鼓励您维护持久的漏洞数据库不同,Trivy 是无状态的,不需要维护或准备。
简易安装
- apt-get install,yum install并且brew install是可能的(参见安装)
- 没有先决条件,例如安装数据库、库等。
高准确率
- 尤其是 Alpine Linux 和 RHEL/CentOS
- 其他操作系统也很高
DevSecOps
- 适用于Travis CI、CircleCI、Jenkins、GitLab CI 等 CI。
- 请参阅CI 示例
支持多种格式
- 容器图像
- Docker Engine 中作为守护进程运行的本地映像
- Podman (>=2.0) 中的本地图像暴露了一个套接字
- Docker Registry 中的远程镜像,例如 Docker Hub、ECR、GCR 和 ACR
- 存储在docker save/podman save格式文件中的 tar 存档
- 符合OCI 图像格式的图像目录
- 本地文件系统和 rootfs
- 远程 git 仓库
SBOM(软件物料清单)支持
- CycloneDX
- SPDX
- GitHub Dependency Snapshots
3. 安装
3.1 RHEL/CentOS
yum
RELEASE_VERSION=$(grep -Po '(?<=VERSION_ID=")[0-9]' /etc/os-release)
cat << EOF | sudo tee -a /etc/yum.repos.d/trivy.repo
[trivy]
name=Trivy repository
baseurl=https://aquasecurity.github.io/trivy-repo/rpm/releases/$RELEASE_VERSION/\$basearch/
gpgcheck=0
enabled=1
EOF
sudo yum -y update
sudo yum -y install trivy
rpm
rpm -ivh https://github.com/aquasecurity/trivy/releases/download/v0.30.4/trivy_0.30.4_Linux-64bit.rpm
3.2 Debian/Ubuntu
apt源
sudo apt-get install wget apt-transport-https gnupg lsb-release
wget -qO - https://aquasecurity.github.io/trivy-repo/deb/public.key | sudo apt-key add -
echo deb https://aquasecurity.github.io/trivy-repo/deb $(lsb_release -sc) main | sudo tee -a /etc/apt/sources.list.d/trivy.list
sudo apt-get update
sudo apt-get install trivy
deb包
wget https://github.com/aquasecurity/trivy/releases/download/v0.30.4/trivy_0.30.4_Linux-64bit.deb
sudo dpkg -i trivy_0.30.4_Linux-64bit.deb
3.3 Arch Linux
pikaur
pikaur -Sy trivy-bin
yay
yay -Sy trivy-bin
3.4 Homebrew
brew install aquasecurity/trivy/trivy
3.5 脚本安装
curl -sfL https://raw.githubusercontent.com/aquasecurity/trivy/main/contrib/install.sh | sh -s -- -b /usr/local/bin v0.30.43.6 Docker
docker pull aquasec/trivy:0.30.4
docker pull ghcr.io/aquasecurity/trivy:0.30.4
docker pull public.ecr.aws/aquasecurity/trivy:0.30.4
linux
docker run --rm -v [YOUR_CACHE_DIR]:/root/.cache/ aquasec/trivy:0.30.4 image [YOUR_IMAGE_NAME]
macOS
docker run --rm -v $HOME/Library/Caches:/root/.cache/ aquasec/trivy:0.30.4 image [YOUR_IMAGE_NAME
实例
docker run --rm -v /var/run/docker.sock:/var/run/docker.sock \-v $HOME/Library/Caches:/root/.cache/ aquasec/trivy:0.30.4 python:3.4-alpine
3.7 Helm
helm repo add aquasecurity https://aquasecurity.github.io/helm-charts/
helm repo update
helm search repo trivy
helm install my-trivy aquasecurity/trivy
使用发布名称安装图表my-release:
helm install my-release .
该命令以默认配置在 Kubernetes 集群上部署 Trivy。参数 部分列出了可以在安装期间配置的参数。
示例
$ helm install my-release . \--namespace my-namespace \--set "service.port=9090" \--set "trivy.vulnType=os\,library"
下一篇我们开始讲:trivy【2】工具漏洞扫描
参考:
- trivy 官方
trivy【1】漏洞扫描工具安装相关推荐
- Windows7之天镜漏洞扫描工具安装
01 天镜漏洞扫描工具安装 01 安装天镜 02 升级漏洞 03 重启win7, 多次重复升级过程(1次可能没办法成功) 04 成功之后查看版本
- AWVS 网页漏洞扫描工具安装使用(Linux)
AWVS( Acunetix Web Vulnerability Scanner) 是一款知名的Web网络漏洞扫描工具,通过网络爬虫测试你的网站安全,检测流行安全漏洞. 安装包是下载这个文件 :acu ...
- Nessus8.4.0漏洞扫描工具安装及使用
Nessus 8.4.0安装及使用 1.1先去Nessus官网https://www.tenable.com下载最新的安装包. 1.2点击downloads下载,进入nessus页面. 1.3根据自身 ...
- AppScan 10(漏洞扫描工具) 安装及功能简介
一.简介 AppScan是一款Web应用安全测试工具,采用黑盒测试的方式,可以扫描常见的web应用安全漏洞.其工作原理,首先是根据起始页爬取站下所有可见的页面,同时测试常见的管理后台:获得所有页面之后 ...
- Open Vas漏洞扫描工具安装及实战
Kail Linux配置 安装OpenVas及其它工具 上车
- 【质量】镜像漏洞扫描工具Trivy原理和操作
目录 Trivy工作原理 cve ID和CVE数据库 Trivy扫描镜像流程 快速入门 Trivy工作原理 cve ID和CVE数据库 个人理解: 当有人发现漏洞时,在社区提交漏洞,然后被cve 官方 ...
- CentOS安装lynis安全漏洞扫描工具
CentOS安装lynis安全漏洞扫描工具 1.新建lynis目录 2.安装准备:下载lynis安装包 传送门: https://cisofy.com/downloads/lynis/ or 直接执行 ...
- AWVS工具太顶了,漏洞扫描工具AWVS介绍及安装教程
AWVS基本操作 AWVS工具在网络安全行业中占据着举足轻重的地位,作为一名安全服务工程师,AWVS这款工具在给安全人员做渗透测试工作时带来了巨大的方便,大大的提高了工作效率. AWVS工具介绍 Ac ...
- Acunetix WVS漏洞扫描工具的安装与使用
Acunetix WVS漏洞扫描工具的使用 任务一 Acunetix WVS安装 双击安装包进行安装 同意授权点击"Next"下一步 设置使用者(此处可以随便写,这里就是小编乱写的 ...
- 漏洞扫描工具Nessus的安装和使用
[实验目的] 理解漏洞扫描基本概念.基本原理: 初步掌握漏洞扫描工具Nessus的使用. [实验环境及准备] 计算机(连接互联网): 漏洞扫描工具Nessus安装文件. [实验步骤] Nessus起源 ...
最新文章
- 关于卷积的6个基本知识
- J2EE中修改了jsp页面或者html页面重新启动tomcat无效问题
- Java 进阶—— super 和 this 的用法
- cad 打开硬件加速卡_CAD卡顿?电脑带不动?几个简单实用的方法,解决CAD运行卡顿问题...
- ‘mvn‘ 不是内部或外部命令,也不是可运行的程序
- Node.js快速文件服务器(通过HTTP的静态文件)
- c++11 多线程编程(六)------条件变量(Condition Variable)
- Spring.Net学习笔记十(打造简易的依赖注入框架)
- 翻译:iOS Swift单元测试 从入门到精通 Unit Test和UI测试 UITest
- 阿里架构师墙裂推荐Java岗实战文档:Spring全家桶+Docker+Redis
- 斯坦福、康奈尔都推荐的量子计算课程教材:《量子计算》
- 万兆网络传输速度测试_Intel万兆网卡的真实测试万兆速度的方法13718565365
- 学习Gluster创建不同卷,设置NFS挂载
- 活体检测-用照片来做人脸识别可行吗?
- 骞云科技携手 EMC,联袂打造超融合基础架构云管方案
- tabindex的使用
- 【Python】PermissionError: [Errno 13] Permission denied: ‘xxx.xlsx‘问题解决
- 小埋的Dancing Line之旅:比赛题解热身题题解
- 解决Eclipse不出提示
- 连线:iPhone研发不为人知的故事 原型机纰漏百出-译文~iPhone秘史