https://github.com/knqyf263/trivy

• 開源

• 免費(fèi)

• 易用

• 準(zhǔn)確度高

• CI 友好

相對(duì)于老前輩 Clair，Trivy 的使用非常直觀方便，適用于更多的場景。

下面是官方出具的對(duì)比表格：

MacOS

$ brew tap knqyf263/trivy
$ brew install knqyf263/trivy/trivy

RHEL/CentOS

$ sudo vim /etc/yum.repos.d/trivy.repo
[trivy]
name=Trivy repository
baseurl=https://knqyf263.github.io/trivy-repo/rpm/releases/$releasever/$basearch/
gpgcheck=0
enabled=1
$ sudo yum -y update
$ sudo yum -y install trivy

這個(gè)工具的最大閃光點(diǎn)就是提供了很多適合用在自動(dòng)化場景的用法。

掃描鏡像：

$ trivy centos

掃描鏡像文件

$ docker save ruby:2.3.0-alpine3.9 -o ruby-2.3.0.tar
$ trivy --input ruby-2.3.0.tar

根據(jù)嚴(yán)重程度進(jìn)行過濾

$ trivy --severity HIGH,CRITICAL ruby:2.3.0

忽略未修復(fù)問題

$ trivy --ignore-unfixed ruby:2.3.0

忽略特定問題

使用 .trivyignore：

$ cat .trivyignore
# Accept the risk
CVE-2018-14618


# No impact in our settings
CVE-2019-1543


$ trivy python:3.4-alpine3.9

使用 JSON 輸出結(jié)果

$ trivy -f json dustise/translat-chatbot:20190428-5

定義返回值

$ trivy --exit-code 0 --severity MEDIUM,HIGH ruby:2.3.0
$ trivy --exit-code 1 --severity CRITICAL ruby:2.3.0

相對(duì)于其它同類工具，Trivy 非常適合自動(dòng)化操作，從 CircleCI 之類的公有服務(wù)，到企業(yè)內(nèi)部使用的 Jenkins、Gitlab 等私有工具，或者作為開發(fā)運(yùn)維人員的自測(cè)環(huán)節(jié)，都有 Trivy 的用武之地。