Trivy 是一个镜像漏洞的扫描器,同时它也可以实现对错误配置,文件系统和Git仓库的扫描;
Trivy 官方有各种的环境下的安装方法,可以通过下面的地址进入选择合适的安装方法
安装 Trivy 之后,就可以使用命令进行对应文件或者容器的扫描了;但是在第一次扫描的时候 Trivy 会去下载漏洞库到你的环境中,之前好几次都没有下载成功,下面就是直接自己去下载漏洞库,然后再放到指定的位置就好了
首先是下载漏洞库,下面就是Trivy漏洞库各个版本的下载地址
注:这里面包含两种类型的下载包:
-
trivy-offline.db.tgz:包含了漏洞的所有详细信息,并且会推荐修补的版本 -
trivy-light-offline.db.tgz:当然如果你只是检查是否存在漏洞,不需要特别详细的信息(比如:在CI/CD中,部署之前检查漏洞,检查到之后就不再进行部署操作),就可以下载这类漏洞库了
下载之后解压到/home/{当前用户}/.cache/trivy下面,这是 Trivy 的默认地址;解压之后删除压缩文件就可以直接使用了
tar -zxvf trivy-offline.db.tgz
接下来执行命令的时候最好加上--skip-update=true,否则 Trivy 还是会去拉取漏洞库,例如:
$ trivy image --skip-update alpine:3.12
Trivy 默认是每隔十二个小时就会更新一次漏洞库,离线情况下或者网络不好时可能就会更新失败;如果你想要获取最新的漏洞库就可以用这种方法手动去更新一下
