trivy-offline-vulnerability-scanning

Trivy to narzędzie do skanowania podatności w plikach zależności projektów. Tryb offline pozwala na analizę bezpieczeństwa w środowiskach bez dostępu do sieci, takich jak systemy izolowane lub środowiska z ograniczeniami bezpieczeństwa. Umożliwia generowanie raportów JSON z wykrytymi lukami w CVE, zapewniając powtarzalne wyniki dzięki stałej bazie danych. Skanowanie offline eliminuje opóźnienia sieciowe, zwiększa niezawodność procesów CI/CD i wspiera zgodność z wymogami bezpieczeństwa w kontrolowanych środowiskach.

1. Przygotuj bazę danych Trivy w trybie offline, upewniając się, że plik trivy.db znajduje się w katalogu cache (domyślnie ./trivy-cache/db/trivy.db). Jeśli baza danych nie istnieje, pobierz ją wcześniej w środowisku z dostępem do internetu lub użyj prebudowanej kopii.
2. Umieść pliki zależności projektu (np. package-lock.json, requirements.txt, pom.xml) w dostępnym katalogu roboczym.
3. Uruchom Trivy w trybie offline, wskazując ścieżkę do pliku zależności i katalog cache: trivy fs --offline-db ./trivy-cache/db/trivy.db --format json --output report.json /ścieżka/do/pliku.
4. Sprawdź wygenerowany raport JSON (report.json), który zawiera listę odkrytych podatności z identyfikatorami CVE, opisami i poziomami ważności.
5. Zintegruj to polecenie w swoim pipeline CI/CD, aby automatycznie skanować zależności przy każdym buildu bez konieczności połączenia sieciowego.
6. Przeanalizuj wyniki i podejmij działania naprawcze wobec zidentyfikowanych luk, aktualizując biblioteki lub stosując patche bezpieczeństwa.