</>GitSoftHub
返回列表
Trivy

Trivy

Find vulnerabilities, misconfigurations, secrets, SBOM in containers, Kubernetes, code repositories, clouds and more

Trivy preview
安全漏洞扫描DevSecOps容器

下载

GitHub源码 & Releases

项目简介

Trivy 是由 Aqua Security 开发的开源安全扫描器。它能够扫描容器镜像、文件系统、Git 仓库以及 Kubernetes 集群中的安全漏洞、配置错误和密钥泄露。Trivy 的扫描范围覆盖操作系统包(如 RPM、DEB、Alpine apk)、编程语言依赖(如 npm、pip、Maven)和基础设施即代码文件(如 Terraform、Dockerfile、Kubernetes 清单)。它设计为在 CI/CD 流水线中零阻力集成,从扫描到输出报告仅需数秒。

核心特性

  • 容器扫描 — 扫描 Docker/OCI 镜像的操作系统包和应用依赖漏洞
  • IaC 扫描 — 检测 Terraform、CloudFormation、Dockerfile 和 Kubernetes 配置中的安全配置错误
  • 密钥检测 — 扫描代码仓库中意外泄露的密码、API 密钥和令牌
  • SBOM 生成 — 支持生成 SPDX 和 CycloneDX 格式的软件物料清单
  • 多数据源 — 聚合 NVD、GitHub Advisory、Red Hat OVAL、Alpine SecDB 等 30+ 漏洞数据库
  • 低误报 — 智能漏洞匹配算法,大幅降低误报率
  • CI/CD 友好 — 支持 GitHub Actions、GitLab CI、Jenkins 等流水线直接调用
  • 多种输出 — 支持 Table、JSON、SARIF、HTML 等多种报告格式

安装方法

winget install AquaSecurity.Trivy

或者通过 Shell 脚本安装:

curl -sfL https://raw.githubusercontent.com/aquasecurity/trivy/main/contrib/install.sh | sh

扫描一个容器镜像:

trivy image nginx:latest

使用场景

  • CI/CD 集成 — 在构建流水线中自动扫描,阻止带高危漏洞的镜像发布
  • 镜像入库检查 — 在推送到私有镜像仓库前进行安全审核
  • K8s 安全 — 扫描集群中被部署的工作负载和配置
  • 代码审计 — 扫描源代码仓库中的依赖漏洞和密钥泄露
  • 合规检查 — 生成 SBOM 清单,满足供应链安全合规要求
  • 日常运维 — 定期扫描运行中的容器,及时发现新披露的漏洞