https://knightli.com/zh-tw/tags/devsecops/ Recent content in DevSecOps on KnightLi的博客 Hugo -- gohugo.io zh-tw Sat, 06 Jun 2026 22:26:00 +0800 https://knightli.com/zh-tw/2026/06/06/trivy-container-kubernetes-security-scanner/ Sat, 06 Jun 2026 22:26:00 +0800 https://knightli.com/zh-tw/2026/06/06/trivy-container-kubernetes-security-scanner/ <p><code>aquasecurity/trivy</code> 是一個很常用的開源安全掃描工具。它可以掃描容器映像、Kubernetes、程式碼倉庫、雲端配置、IaC、Secret、SBOM、漏洞和錯誤配置。</p> <p>如果你在做 Docker、Kubernetes 或 CI/CD，Trivy 基本上屬於早晚會遇到的工具。</p> <h2 id="它能掃什麼">它能掃什麼 </h2><p>Trivy 的覆蓋範圍很廣：</p> <ul> <li>容器鏡像漏洞；</li> <li>文件系統和代碼倉庫；</li> <li>Kubernetes 資源；</li> <li>Terraform、Kubernetes YAML 等 IaC；</li> <li>Secret 洩漏；</li> <li>License 風險；</li> <li>SBOM 產生和掃描；</li> <li>雲端資源配置問題。</li> </ul> <p>它的價值在於把多類安全檢查統一到一個工具裡，而不是每類風險都裝一套掃描器。</p> <h2 id="適合放在哪裡">適合放在哪裡 </h2><p>常見接入點：</p> <ul> <li>本地開發時掃描鏡像；</li> <li>CI 裡阻斷高風險漏洞；</li> <li>鏡像倉庫定期掃描；</li> <li>Kubernetes 部署前檢查 YAML；</li> <li>產生 SBOM 給審計或供應鏈安全使用；</li> <li>定期掃代碼倉庫裡的 Secret。</li> </ul> <p>安全掃描最怕只跑一次。更好的做法是放進管線，持續掃描，持續修。</p> <h2 id="使用時要注意什麼">使用時要注意什麼 </h2><p>Trivy 會告訴你風險，但不會替你做風險決策：</p> <ul> <li>漏洞是否可利用，要看運行環境；</li> <li>基礎鏡像版本要定期升級；</li> <li>高危險漏洞可以設阻斷策略；</li> <li>低危險和誤報要有例外管理；</li> <li>Secret 命中後要立即輪換金鑰；</li> <li>SBOM 不是合規裝飾，要能追蹤依賴來源。</li> </ul> <p>不要把掃描報告當 KPI。真正有價值的是修復閉環。</p> <h2 id="小結">小結 </h2><p>Trivy 是 DevSecOps 裡很實用的一把刀。它不複雜，但覆蓋面廣，適合從個人專案到企業流水線逐步接入。</p> <p>如果你正在部署容器或 Kubernetes 服務，至少應該把 Trivy 放進建置和發佈流程裡。</p> <h2 id="參考來源">參考來源 </h2><ul> <li><a class="link" href="https://github.com/aquasecurity/trivy" target="_blank" rel="noopener" >aquasecurity/trivy - GitHub</a></li> </ul>