Проверяем безопасность Docker-образов с помощью Trivy
В этой статье расскажем об инструменте для проверки безопасности контейнеров Docker Trivy: о его особенностях, установке и использовании.
Last updated
В этой статье расскажем об инструменте для проверки безопасности контейнеров Docker Trivy: о его особенностях, установке и использовании.
Last updated
Один из самых лёгких и многофункциональных сканеров уязвимостей Docker-образов. Он сканирует как образ в репозитории, так и локальный образ. Нацелен на нахождение уязвимостей двух типов:
— Проблемы сборок ОС (Alpine, RedHat (EL), CentOS, Debian GNU, Ubuntu). — Проблемы в зависимостях (Gemfile.lock, Pipfile.lock, composer.lock, package-lock.json, yarn.lock, Cargo.lock).
Trivy работает на разных платформах Linux, включая RHEL, CentOs, Ubuntu, Debian, Arch Linux, MacOS, Nix и других.
Есть разные способы установки Trivy на разные платформы. Вот команды для Ubuntu:
Для запуска используем команду:
Можно запускать проверку неправильных настроек безопасности как в файловой системе, так и в репозиториях git. Попробуем запустить сканирование файловой системы. Для этого нужно клонировать .
Репозиторий git содержит файл Dockerfile и файл манифеста deployment.yaml k8s.
Dockerfile выглядит следующим образом:
Файл deployment.yaml выглядит следующим образом:
Важно: здесь мы целенаправленно установили для привилегированного атрибута в securityContext значение true. Этого делать нельзя.
Теперь запускаем сканирование: так Trivy сможет найти эту настройку конфигурации: