Grype
Security-as-Code
Skaner podatności obrazów i systemów plików; parą z SBOM (Syft).
Grype to szybki skaner podatności dla obrazów kontenerów i systemów plików. Świetnie współpracuje z Syft (generatorem SBOM) — najpierw tworzysz listę składników (SBOM), potem skanujesz ją pod kątem znanych CVE. Dzięki prostemu CLI i przewidywalnym kodom wyjścia łatwo wpina się w pipeline jako bramka jakości.
Kiedy używać
- Skanujesz obrazy i artefakty pod kątem CVE w CI.
- Pracujesz w modelu SBOM-first (Syft → Grype).
- Chcesz lekkiego, szybkiego skanera obok Trivy.
Przykład użycia
grype ghcr.io/eiac/web:1.0.0 # skan obrazu
syft ghcr.io/eiac/web:1.0.0 -o spdx-json | grype # ze SBOM
# fail przy wysokiej severity
- run: grype ghcr.io/eiac/web:1.0.0 --fail-on high
Warto wiedzieć
- Syft + Grype rozdzielają „co jest w artefakcie” od „co jest podatne”.
- Komplementarny do Trivy — część zespołów uruchamia oba.