aquasecurity/trivy 开源安全扫描工具

aquasecurity 开源的安全扫描工具 Trivy，目前获得 34,982 个 Star。

Trivy 是一款综合型安全扫描工具，包含扫描器和扫描目标两类核心模块。扫描器负责查找安全问题，扫描目标是问题的来源载体。两类模块组合覆盖了软件开发全生命周期的多数安全检测需求，用户可以根据自身场景选择对应组合使用。

Trivy 支持的扫描目标包括五类：

• 容器镜像，支持主流容器运行时和镜像仓库的漏洞扫描，覆盖主流操作系统和应用依赖。
• 文件系统，支持本地目录和文件的安全检测，适合开发阶段在本地执行检测。
• 远程 Git 仓库，支持直接扫描代码仓库中的代码和配置文件，不需要克隆到本地。
• 虚拟机镜像，支持常见虚拟机镜像格式的静态扫描，提前发现镜像中的安全风险。
• Kubernetes 集群，支持扫描集群中的工作负载、配置项等对象的安全问题。

对应的扫描器可检测五类内容：

• 操作系统包和软件依赖生成 SBOM，输出完整的软件资产清单。
• 已知 CVE 漏洞，匹配官方漏洞库检测已知的公开漏洞。
• 基础设施即代码配置错误，检测 Terraform、CloudFormation 等配置文件的不合规配置。
• 敏感信息和密钥，检测代码和配置中意外提交的密码、API 密钥等敏感内容。
• 软件许可证，检测依赖库的许可证类型，规避许可证合规风险。

Trivy 支持大多数主流编程语言、操作系统和平台，完整支持列表可查看官方文档中的扫描覆盖范围页面。用户可以根据自身技术栈确认是否覆盖需求。

项目地址：https://github.com/aquasecurity/trivy

获取 Trivy

Trivy 提供多种安装渠道，完整安装方式可参考官方安装页面，常见安装方式包括：

• 使用 brew 安装：brew install trivy，适合 macOS 和 Linux 用户。
• 使用 Docker 运行：docker run aquasec/trivy，不需要本地安装依赖环境。
• 从 GitHub Releases 页面下载对应平台对应的二进制文件，解压后直接使用。

Trivy 已经集成了多个主流平台和应用，完整生态列表可查看官方生态页面，常见集成包括：

• GitHub Actions，可直接嵌入 CI 流程，在代码提交或合并阶段执行安全扫描。
• Kubernetes operator，可部署在 Kubernetes 集群中，持续扫描集群中的工作负载。
• VS Code 插件，开发者可以在编辑器中直接执行代码安全扫描，提前发现问题。

项目主分支每次提交会生成 Canary 构建版本，包含 Docker 镜像、GitHub 镜像、ECR 镜像和二进制文件。Canary 版本包含最新开发的功能，但可能存在严重问题，不建议在生产环境使用。

基础使用

通用命令格式为：
trivy [–scanners <scanner1,scanner2>]

示例1：扫描容器镜像
trivy image python:3.4-alpine
命令会扫描 python:3.4-alpine 镜像中的操作系统包和应用依赖的已知漏洞，输出漏洞详情。

示例2：扫描本地文件系统，检测漏洞、密钥和配置错误
trivy fs --scanners vuln,secret,misconfig myproject/
命令会扫描 myproject 目录下的所有文件，同时检测三类安全漏洞、敏感信息和配置错误。

示例3：扫描 Kubernetes 集群，生成汇总报告
trivy k8s --report summary cluster
命令会扫描整个 Kubernetes 集群中的所有工作负载和配置，输出汇总格式的报告。

Trivy 名称发音为，tri 发音同 trigger 中的 tri，vy 发音同 envy 中的 vy。

Trivy 是 Aqua Security 旗下的开源项目，用户如果需要更完整的安全管理能力，可以了解 Aqua 商业产品，基于 Trivy 提供更多增强功能。用户可以通过 GitHub Discussions 联系项目团队，或参与社区交流，参与交流过程中需遵守社区行为准则。

能。用户可以通过 GitHub Discussions 联系项目团队，或参与社区交流，参与交流过程中需遵守社区行为准则。