Operaciones

¿Cómo utilizar Trivy? Herramientas de escaneo de seguridad de contenedores, Kubernetes y repositorios

Organización del proyecto aquasecurity/trivy: cómo escanea imágenes de contenedores, Kubernetes, repositorios de código, configuraciones de nube, IaC, secretos, SBOM y vulnerabilidades, y es una herramienta de seguridad común para DevSecOps.

aquasecurity/trivy es una herramienta de escaneo de seguridad de código abierto muy utilizada. Puede escanear imágenes de contenedores, Kubernetes, repositorios de código, configuraciones de nube, IaC, secretos, SBOM, vulnerabilidades y configuraciones erróneas.

Si está utilizando Docker, Kubernetes o CI/CD, Trivy es básicamente una herramienta que encontrará tarde o temprano.

¿Qué puede escanear?

Trivy cubre una amplia gama de áreas:

  • Vulnerabilidad de la imagen del contenedor;
  • Sistema de archivos y repositorio de códigos;
  • Recursos de Kubernetes;
  • IaC como Terraform, Kubernetes YAML;
  • Secreto filtrado;
  • Riesgo de licencia;
  • Generación y escaneo de SBOM;
  • Problemas de configuración de recursos en la nube.

Su valor radica en unificar múltiples tipos de controles de seguridad en una sola herramienta, en lugar de instalar un escáner para cada tipo de riesgo.

¿Dónde ponerlo?

Puntos de acceso comunes:

  • Escanear imágenes durante el desarrollo local;
  • Bloquear vulnerabilidades de alto riesgo en CI;
  • Escaneo regular del almacén de espejos;
  • Verifique YAML antes de la implementación de Kubernetes;
  • Generar SBOM para auditoría o uso de seguridad de la cadena de suministro;
  • Escanee Secretos en el repositorio de códigos con regularidad.

Lo peor de un análisis de seguridad es que sólo se ejecuta una vez. Un mejor enfoque es ponerlo en proceso, continuar escaneando y continuar reparando.

¿A qué debes prestar atención al usarlo?

Trivy le informará los riesgos, pero no tomará decisiones de riesgo por usted:

  • La posibilidad de explotar la vulnerabilidad depende del entorno operativo;
  • La versión básica de la imagen debe actualizarse periódicamente;
  • Se pueden establecer estrategias de bloqueo para vulnerabilidades de alto riesgo;
  • Las alarmas falsas y de bajo riesgo deben gestionarse por excepción;
  • El secreto debe rotarse inmediatamente después de que se golpee el Secreto;
  • SBOM no es una decoración de cumplimiento y debe poder rastrear el origen de las dependencias.

No trate los informes de escaneo como KPI. Lo realmente valioso es reparar los circuitos cerrados.

Resumen

Trivy es un cuchillo muy práctico en DevSecOps. No es complicado, pero tiene una amplia cobertura y es adecuado para el acceso gradual desde proyectos personales hasta líneas de montaje empresariales.

Si está implementando contenedores o servicios de Kubernetes, al menos debe incluir Trivy en su proceso de compilación y lanzamiento.

Fuentes de referencia

© 2022 - 2026 KnightLi Blog
记录并分享
Creado con Hugo
Tema Stack diseñado por Jimmy