Trivy¶
Trivy est un scanner de vulnérabilités capable entre autres de scanner des images de conteneur pour y détecter des dépendances vulnérables.
Trivy a été victime d'un incident de sécurité
Voir analyse de Stéphane Robert ( blog.stephane-robert.info - Trivy compromis une seconde fois : la release v0.69.4 était empoisonnée ) qui recommande des alernatives : Grype (pour l'analyse des dépendances) et Syfte (pour la génération de SBOM)
Installation¶
- trivy.dev - Getting Started
- trivy/install.sh procède au téléchargement et à l'installation du .deb :
curl -sS https://mborne.github.io/outils/trivy/install.sh | bash
Utilisation¶
Pour afficher l'aide :
# pour les sous-commandes
trivy --help
# pour l'aide au scan d'image
trivy image --help
Pour scanner une image :
trivy image --scanners vuln --severity HIGH,CRITICAL php:7.4
