【51CTO.com快譯】將漏洞掃描自動(dòng)化到開發(fā)流程中可以降低成功攻擊的可能性，并有助于保護(hù)容器化工作負(fù)載。實(shí)現(xiàn)這一目標(biāo)的領(lǐng)先工具之一是 Aqua Security 的 Trivy，這是一種易于使用的開源漏洞掃描器，可幫助團(tuán)隊(duì)“左移”將安全性納入構(gòu)建管道。

自誕生以來，Trivy 因其簡(jiǎn)單的方法和跨操作系統(tǒng)包和特定于語言的依賴項(xiàng)的全面漏洞跟蹤而廣受歡迎和支持。云本地計(jì)算基金會(huì)的終端用戶社區(qū)選擇Trivy作為2021年CNCF終端用戶技術(shù)雷達(dá)的頂級(jí)開發(fā)secops工具。Trivy已經(jīng)被許多領(lǐng)先的云原生平臺(tái)和軟件供應(yīng)商采用，包括Litmus、Kyverno、Istio和ExternalDNS；它是Harbor、GitLab和Artifact Hub的默認(rèn)掃描器；微軟Azure Defender的CI/CD掃描也是由Trivy支持的。

Trivy 自創(chuàng)建以來已經(jīng)發(fā)展了很多，我們對(duì)簡(jiǎn)單性和有效性的關(guān)注使其成為任何開發(fā)人員工具包中的關(guān)鍵工具。在本文中，我將向大家介紹 Trivy 如何將安全性集成到構(gòu)建過程中，分享一些最近的進(jìn)展，并解釋 Trivy 如何融入更廣泛的 Aqua Security 開源生態(tài)系統(tǒng)，以保護(hù)云原生應(yīng)用程序的整個(gè)生命周期.

Trivy 的工作原理

云原生安全之旅始于對(duì)代碼中存在的漏洞的可見性。在開發(fā)階段識(shí)別和緩解問題可減少攻擊面并消除風(fēng)險(xiǎn)。對(duì)于云原生應(yīng)用程序，這涉及在構(gòu)建圖像和功能時(shí)掃描它們，以及早發(fā)現(xiàn)問題并允許快速修復(fù)，以及持續(xù)掃描注冊(cè)表以解決新發(fā)現(xiàn)的漏洞。

Trivy 使 DevOps 團(tuán)隊(duì)能夠根據(jù)開發(fā)需要盡快設(shè)置和開始掃描。部署和集成到 CI/CD 管道就像下載和安裝二進(jìn)制文件一樣簡(jiǎn)單。Trivy 可以集成到 CI 工具中，例如 Travis CI、CircleCI 和 GitLab CI。如果發(fā)現(xiàn)漏洞，Trivy 可以設(shè)置為使作業(yè)運(yùn)行失敗。Trivy 也可作為 GitHub Action 使用，它可以與 GitHub 代碼掃描輕松集成。開發(fā)人員可以將容器鏡像掃描構(gòu)建到他們的 GitHub Actions 工作流程中，以在漏洞投入生產(chǎn)之前發(fā)現(xiàn)并消除漏洞。

???

???

與其他開源掃描器不同，Trivy 提供跨操作系統(tǒng)包和編程語言包的全面可見性。它比其他工具更快地獲取漏洞數(shù)據(jù)，因此掃描只需幾秒鐘，并且可以直接在命令行中過濾關(guān)鍵 CVE。

???

Trivy 具有緊湊的數(shù)據(jù)庫，具有不需要外部中間件或數(shù)據(jù)庫依賴項(xiàng)的自動(dòng)更新功能。Trivy 將通過從 GitHub 下載最新的預(yù)構(gòu)建版本來自動(dòng)使數(shù)據(jù)庫保持最新。這使得該工具非常快速和高效。該工具提供已修復(fù)和未修復(fù)漏洞的結(jié)果，以及對(duì) Alpine Linux 等操作系統(tǒng)的低誤報(bào)。

最近的 Trivy 進(jìn)展

Trivy 的開發(fā)非常強(qiáng)調(diào)可用性、性能和功效，過去幾年取得的進(jìn)步支持了這些基本原則。我們添加了有助于 DevOps 團(tuán)隊(duì)及其流程的功能，同時(shí)確保該工具保持高效且易于使用。

除了容器鏡像掃描之外，Trivy 現(xiàn)在還支持掃描文件系統(tǒng)和 Git 存儲(chǔ)庫。這些功能有助于加強(qiáng)容器安全最佳實(shí)踐，例如維護(hù)一組維護(hù)良好且安全的基礎(chǔ)鏡像。例如，Aqua Security 最近使用 Docker Hub API 提取了官方 Docker 鏡像的樣本，然后掃描這些鏡像中的漏洞。我們發(fā)現(xiàn)許多鏡像運(yùn)行不受支持的操作系統(tǒng)，包括舊版本的 Debian 或 Alpine，并且在某些情況下，不再支持官方鏡像。

???

我們還發(fā)現(xiàn)了具有大量未修補(bǔ)漏洞但沒有正式棄用信息的圖像。這包括 Nuxeo (186)、Backdrop (173)、Kaazing Gateway (95) 和 CentOS (86)。最后一個(gè) CentOS 在 2021 年 7 月 29 日至 8 月 10 日期間的下載量已超過 700 萬次。 擁有像 Trivy 這樣有效的掃描器可以確保開發(fā)團(tuán)隊(duì)使用維護(hù)良好且安全的基礎(chǔ)鏡像，從而降低被利用的風(fēng)險(xiǎn).

Trivy 現(xiàn)在還可以用作客戶端和服務(wù)器。這些功能易于設(shè)置和開始使用。提供了官方的 Helm chart，可以將 Trivy 服務(wù)器安裝在 Kubernetes 集群中，并且支持 Redis 作為緩存后端以進(jìn)行擴(kuò)展。

我們最近添加的功能是[掃描基礎(chǔ)設(shè)施即代碼 (IaC) 工具（例如 Kubernetes、Docker 和 Terraform ）的配置文件，以檢測(cè)錯(cuò)誤配置。Trivy 可以解析常用的云原生格式，然后應(yīng)用一組對(duì)良好安全實(shí)踐進(jìn)行編碼的規(guī)則。這允許快速識(shí)別可能的安全問題和強(qiáng)化應(yīng)用程序工件的機(jī)會(huì)，例如 Dockerfiles 和 Kubernetes 清單。

Terraform 掃描利用了 Tfsec 項(xiàng)目的優(yōu)秀規(guī)則集，該項(xiàng)目最近加入了 Aqua 開源軟件生態(tài)系統(tǒng)。有幾組檢查涵蓋了三個(gè)主要的云提供商，并且可以在多個(gè)位置使用 Tfsec 規(guī)則庫，幫助確保在整個(gè)開發(fā)過程中一致的策略應(yīng)用。

未來的 Trivy 增強(qiáng)功能將為 Ansible、CloudFormation 和 Helm 添加 IaC 掃描支持。其他更新將為最近發(fā)布的 AlmaLinux、Rocky Linux 和其他新操作系統(tǒng)添加 Trivy 支持，并擴(kuò)展對(duì)編程語言的支持并引入對(duì)軟件物料清單 (SBOM) 的支持。

用于云原生安全的開源生態(tài)系統(tǒng)

Trivy 是 Aqua 開源云原生安全項(xiàng)目組合的一部分。我們將開源視為實(shí)現(xiàn)安全民主化的一種方式，并通過可訪問的工具對(duì)工程、安全和開發(fā)團(tuán)隊(duì)進(jìn)行教育，縮小技能差距，并在應(yīng)用程序投入生產(chǎn)之前將安全控制自動(dòng)化到云原生管道中。我們的其他開源項(xiàng)目包括：

• Tracee：使用 eBPF 跟蹤和研究驅(qū)動(dòng)的行為簽名在運(yùn)行時(shí)檢測(cè)可疑行為。
• Tfsec：通過隨處運(yùn)行的設(shè)計(jì)提供 Terraform 掃描，確保在部署之前識(shí)別漏洞，無論復(fù)雜性如何。
• Starboard：Kubernetes 原生安全工具包，用于掃描 Kubernetes 集群中工作負(fù)載使用的圖像。
• Kube-bench：作為 2018 年 InfoWorld Bossie 獎(jiǎng)的獲得者，Kube-bench 會(huì)根據(jù) CIS Kubernetes 基準(zhǔn)測(cè)試中的建議自動(dòng)確定是否配置了 Kubernetes。
• Kube-hunter：一種滲透測(cè)試工具，用于搜索 Kubernetes 集群中的弱點(diǎn)，因此管理員、操作員和安全團(tuán)隊(duì)可以在攻擊者利用它們之前識(shí)別并解決任何問題。
• CloudSploit：提供云安全狀態(tài)管理 (CSPM)，根據(jù)安全最佳實(shí)踐評(píng)估云帳戶和服務(wù)配置。
• Appshield：用于檢測(cè)配置文件和基礎(chǔ)架構(gòu)即代碼定義中的錯(cuò)誤配置（特別是安全問題）的策略集合。

這些項(xiàng)目與 Aqua 的云原生應(yīng)用程序保護(hù)平臺(tái)以及許多常用的 DevOps 生態(tài)系統(tǒng)工具集成，以幫助推動(dòng)更快地采用云原生技術(shù)和流程，同時(shí)保持安全性。它們由 Aqua 的開源團(tuán)隊(duì)提供支持，該團(tuán)隊(duì)與商業(yè)工程分開運(yùn)作。我們相信，這使我們能夠繼續(xù)致力于提供長(zhǎng)期支持、使用高質(zhì)量代碼創(chuàng)建按需功能，并不斷為開源社區(qū)中的其他項(xiàng)目做出貢獻(xiàn)。

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】