← Katalog
E I A C

Trivy

Security-as-Code

Skaner podatności: kontenery, zależności, IaC i sekrety.

★ 24 000 Apache-2.0 #security#scanning#sbom#iac

Trivy to wszechstronny skaner bezpieczeństwa: wykrywa znane podatności (CVE) w obrazach kontenerów i zależnościach, błędy konfiguracji w plikach IaC (Terraform, Kubernetes, Dockerfile), wycieki sekretów oraz generuje SBOM. Jest szybki, działa offline z lokalną bazą i łatwo wpina się w pipeline — bezpieczeństwo staje się bramką w CI, nie ręcznym audytem.

Kiedy używać

  • Skanujesz obrazy i zależności pod kątem CVE przed wdrożeniem.
  • Sprawdzasz manifesty IaC/Kubernetes pod kątem złych konfiguracji.
  • Chcesz jednego narzędzia do CVE, sekretów, IaC i SBOM.

Przykład użycia

trivy image ghcr.io/eiac/web:1.0.0      # podatności w obrazie
trivy config ./infra                     # błędy konfiguracji IaC
trivy fs --scanners secret .             # wycieki sekretów
# krok w pipeline — fail przy krytycznych CVE
- run: trivy image --exit-code 1 --severity CRITICAL ghcr.io/eiac/web:1.0.0

Warto wiedzieć

  • Dobrze łączy się z politykami Open Policy Agent (Conftest/Rego).
  • --exit-code zamienia skan w twardą bramkę CI.