sca-trivy

Trivy to narzędzie do analizy składu oprogramowania (SCA) i skanowania podatności w kontenerach, systemach plików i repozytoriach. Identyfikuje luki bezpieczeństwa w zależnościach (Go, Python, Node.js, Java), błędy konfiguracji Infrastructure as Code (Terraform, Kubernetes, Dockerfile) oraz ryzyka licencyjne. Generuje raporty SBOM w formatach CycloneDX i SPDX, integruje się z pipelinami CI/CD poprzez wyjście SARIF i pozwala na priorytetyzację napraw według wyniku CVSS i możliwości exploitacji.

1. Zainstaluj Trivy na swoim systemie: na macOS użyj brew install trivy, na Debian/Ubuntu apt-get install trivy, lub pobierz obraz Docker docker pull aquasec/trivy:latest.
2. Aby skanować obraz kontenera pod kątem podatności, uruchom trivy image [nazwa-obrazu], na przykład trivy image nginx:latest — narzędzie przeanalizuje wszystkie warstwy obrazu i wykaże znalezione CVE.
3. Do skanowania lokalnego systemu plików w poszukiwaniu podatnych zależności wykonaj trivy fs [ścieżka], gdzie [ścieżka] wskazuje katalog projektu — Trivy automatycznie wykryje pliki manifestów zależności.
4. Aby sprawdzić błędy konfiguracji w plikach Infrastructure as Code, uruchom trivy config [ścieżka] — narzędzie przeanalizuje pliki Terraform, Kubernetes i Dockerfile pod kątem niezgodności z najlepszymi praktykami bezpieczeństwa.
5. Przejrzyj wyniki skanowania, które zawierają identyfikatory CVE, wyniki CVSS, opisy podatności i rekomendacje naprawy — sortuj je według wyniku CVSS, aby najpierw zaadresować najpoważniejsze zagrożenia.
6. Aby zintegrować Trivy z pipeliną CI/CD, skonfiguruj wyjście w formacie SARIF lub SBOM (CycloneDX/SPDX) — pozwoli to na automatyczne raportowanie podatności i śledzenie zmian w składzie oprogramowania w czasie.