Trivy
Security-as-Code
Skaner podatności: kontenery, zależności, IaC i sekrety.
Trivy to wszechstronny skaner bezpieczeństwa: wykrywa znane podatności (CVE) w obrazach kontenerów i zależnościach, błędy konfiguracji w plikach IaC (Terraform, Kubernetes, Dockerfile), wycieki sekretów oraz generuje SBOM. Jest szybki, działa offline z lokalną bazą i łatwo wpina się w pipeline — bezpieczeństwo staje się bramką w CI, nie ręcznym audytem.
Kiedy używać
- Skanujesz obrazy i zależności pod kątem CVE przed wdrożeniem.
- Sprawdzasz manifesty IaC/Kubernetes pod kątem złych konfiguracji.
- Chcesz jednego narzędzia do CVE, sekretów, IaC i SBOM.
Przykład użycia
trivy image ghcr.io/eiac/web:1.0.0 # podatności w obrazie
trivy config ./infra # błędy konfiguracji IaC
trivy fs --scanners secret . # wycieki sekretów
# krok w pipeline — fail przy krytycznych CVE
- run: trivy image --exit-code 1 --severity CRITICAL ghcr.io/eiac/web:1.0.0
Warto wiedzieć
- Dobrze łączy się z politykami Open Policy Agent (Conftest/Rego).
--exit-codezamienia skan w twardą bramkę CI.