sca-trivy

Software Composition Analysis (SCA) and container vulnerability scanning using Aqua Trivy for identifying CVE vulnerabilities in dependencies, container images, IaC misconfigurations, and license compliance risks. Use when: (1) Scanning container images and filesystems for vulnerabilities and misconfigurations, (2) Analyzing dependencies for known CVEs across multiple languages (Go, Python, Node.js, Java, etc.), (3) Detecting IaC security issues in Terraform, Kubernetes, Dockerfile, (4) Integrating vulnerability scanning into CI/CD pipelines with SARIF output, (5) Generating Software Bill of Materials (SBOM) in CycloneDX or SPDX format, (6) Prioritizing remediation by CVSS score and exploitability.

1. Zainstaluj Trivy na swoim systemie: na macOS użyj brew install trivy, na Debian/Ubuntu apt-get install trivy, lub pobierz obraz Docker docker pull aquasec/trivy:latest.
2. Aby skanować obraz kontenera pod kątem podatności, uruchom trivy image [nazwa-obrazu], na przykład trivy image nginx:latest — narzędzie przeanalizuje wszystkie warstwy obrazu i wykaże znalezione CVE.
3. Do skanowania lokalnego systemu plików w poszukiwaniu podatnych zależności wykonaj trivy fs [ścieżka], gdzie [ścieżka] wskazuje katalog projektu — Trivy automatycznie wykryje pliki manifestów zależności.
4. Aby sprawdzić błędy konfiguracji w plikach Infrastructure as Code, uruchom trivy config [ścieżka] — narzędzie przeanalizuje pliki Terraform, Kubernetes i Dockerfile pod kątem niezgodności z najlepszymi praktykami bezpieczeństwa.
5. Przejrzyj wyniki skanowania, które zawierają identyfikatory CVE, wyniki CVSS, opisy podatności i rekomendacje naprawy — sortuj je według wyniku CVSS, aby najpierw zaadresować najpoważniejsze zagrożenia.
6. Aby zintegrować Trivy z pipeliną CI/CD, skonfiguruj wyjście w formacie SARIF lub SBOM (CycloneDX/SPDX) — pozwoli to na automatyczne raportowanie podatności i śledzenie zmian w składzie oprogramowania w czasie.