← Katalog
E I A C

Grype

Security-as-Code

Skaner podatności obrazów i systemów plików; parą z SBOM (Syft).

★ 12 000 Apache-2.0 #security#scanning#sbom#containers

Grype to szybki skaner podatności dla obrazów kontenerów i systemów plików. Świetnie współpracuje z Syft (generatorem SBOM) — najpierw tworzysz listę składników (SBOM), potem skanujesz ją pod kątem znanych CVE. Dzięki prostemu CLI i przewidywalnym kodom wyjścia łatwo wpina się w pipeline jako bramka jakości.

Kiedy używać

  • Skanujesz obrazy i artefakty pod kątem CVE w CI.
  • Pracujesz w modelu SBOM-first (Syft → Grype).
  • Chcesz lekkiego, szybkiego skanera obok Trivy.

Przykład użycia

grype ghcr.io/eiac/web:1.0.0                 # skan obrazu
syft ghcr.io/eiac/web:1.0.0 -o spdx-json | grype   # ze SBOM
# fail przy wysokiej severity
- run: grype ghcr.io/eiac/web:1.0.0 --fail-on high

Warto wiedzieć

  • Syft + Grype rozdzielają „co jest w artefakcie” od „co jest podatne”.
  • Komplementarny do Trivy — część zespołów uruchamia oba.