https://knightli.com/tags/trivy/ Recent content in Trivy on KnightLi的博客 Hugo -- gohugo.io zh-cn Sat, 06 Jun 2026 22:26:00 +0800 https://knightli.com/2026/06/06/trivy-container-kubernetes-security-scanner/ Sat, 06 Jun 2026 22:26:00 +0800 https://knightli.com/2026/06/06/trivy-container-kubernetes-security-scanner/ <p><code>aquasecurity/trivy</code> 是一个很常用的开源安全扫描工具。它可以扫描容器镜像、Kubernetes、代码仓库、云配置、IaC、Secret、SBOM、漏洞和错误配置。</p> <p>如果你在做 Docker、Kubernetes 或 CI/CD，Trivy 基本属于早晚会遇到的工具。</p> <h2 id="它能扫什么">它能扫什么 </h2><p>Trivy 的覆盖面很广：</p> <ul> <li>容器镜像漏洞；</li> <li>文件系统和代码仓库；</li> <li>Kubernetes 资源；</li> <li>Terraform、Kubernetes YAML 等 IaC；</li> <li>Secret 泄露；</li> <li>License 风险；</li> <li>SBOM 生成和扫描；</li> <li>云资源配置问题。</li> </ul> <p>它的价值在于把多类安全检查统一到一个工具里，而不是每类风险都装一套扫描器。</p> <h2 id="适合放在哪里">适合放在哪里 </h2><p>常见接入点：</p> <ul> <li>本地开发时扫描镜像；</li> <li>CI 里阻断高危漏洞；</li> <li>镜像仓库定期扫描；</li> <li>Kubernetes 部署前检查 YAML；</li> <li>生成 SBOM 给审计或供应链安全使用；</li> <li>定期扫代码仓库里的 Secret。</li> </ul> <p>安全扫描最怕只跑一次。更好的做法是放进流水线，持续扫描，持续修。</p> <h2 id="使用时要注意什么">使用时要注意什么 </h2><p>Trivy 会告诉你风险，但不会替你做风险决策：</p> <ul> <li>漏洞是否可利用，要看运行环境；</li> <li>基础镜像版本要定期升级；</li> <li>高危漏洞可以设阻断策略；</li> <li>低危和误报要有例外管理；</li> <li>Secret 命中后要立即轮换密钥；</li> <li>SBOM 不是合规装饰，要能追踪依赖来源。</li> </ul> <p>不要把扫描报告当 KPI。真正有价值的是修复闭环。</p> <h2 id="小结">小结 </h2><p>Trivy 是 DevSecOps 里很实用的一把刀。它不复杂，但覆盖面广，适合从个人项目到企业流水线逐步接入。</p> <p>如果你正在部署容器或 Kubernetes 服务，至少应该把 Trivy 放进构建和发布流程里。</p> <h2 id="参考来源">参考来源 </h2><ul> <li><a class="link" href="https://github.com/aquasecurity/trivy" target="_blank" rel="noopener" >aquasecurity/trivy - GitHub</a></li> </ul>