aquasecurity/trivy 是一個很常用的開源安全掃描工具。它可以掃描容器映像、Kubernetes、程式碼倉庫、雲端配置、IaC、Secret、SBOM、漏洞和錯誤配置。
如果你在做 Docker、Kubernetes 或 CI/CD,Trivy 基本上屬於早晚會遇到的工具。
它能掃什麼
Trivy 的覆蓋範圍很廣:
- 容器鏡像漏洞;
- 文件系統和代碼倉庫;
- Kubernetes 資源;
- Terraform、Kubernetes YAML 等 IaC;
- Secret 洩漏;
- License 風險;
- SBOM 產生和掃描;
- 雲端資源配置問題。
它的價值在於把多類安全檢查統一到一個工具裡,而不是每類風險都裝一套掃描器。
適合放在哪裡
常見接入點:
- 本地開發時掃描鏡像;
- CI 裡阻斷高風險漏洞;
- 鏡像倉庫定期掃描;
- Kubernetes 部署前檢查 YAML;
- 產生 SBOM 給審計或供應鏈安全使用;
- 定期掃代碼倉庫裡的 Secret。
安全掃描最怕只跑一次。更好的做法是放進管線,持續掃描,持續修。
使用時要注意什麼
Trivy 會告訴你風險,但不會替你做風險決策:
- 漏洞是否可利用,要看運行環境;
- 基礎鏡像版本要定期升級;
- 高危險漏洞可以設阻斷策略;
- 低危險和誤報要有例外管理;
- Secret 命中後要立即輪換金鑰;
- SBOM 不是合規裝飾,要能追蹤依賴來源。
不要把掃描報告當 KPI。真正有價值的是修復閉環。
小結
Trivy 是 DevSecOps 裡很實用的一把刀。它不複雜,但覆蓋面廣,適合從個人專案到企業流水線逐步接入。
如果你正在部署容器或 Kubernetes 服務,至少應該把 Trivy 放進建置和發佈流程裡。