Trivy, docker imajlarımız ve konteynırlarımız için kullanabileceğimiz açık kaynak güvenlik açıklarını ve yapılandırma hatalarını tarayabileceğimiz bir araçtır. Tool sayesinde imajlarınızdaki ve imajlarınızda kullandığınız bileşenlerin güvenlik açıkları hakkında bilgi sahibi olabilirsiniz.
İlgili yazılım aquasecurity tarafından geliştirilmiş olup devops otomasyon tool’ları ile entegre çalışabilmektedir.
İlgili yazılımı indirip bir imaj üzerinde test edelim;
https://github.com/aquasecurity/trivy/releases
trivy_0.44.1_windows-64bit.zip dosyasını indirip, içerisindekileri uygun bir dizine çıkaralım, ben test için dosyaları masaüstüne çıkardım.
Test için postgres imajını pull ettim, ilgili imaj üzerinde bir tarama gerçekleştirelim. Tarama işlemini cmd veya powershell’den yapabilirsiniz, ben visual studio code kullanmaktayım.
cd /path/trivy -> trivy’yi indirip çıkarmış olduğumuz dizine gidiyoruz.
.\trivy.exe image postgres:12 -> trivy’ i kullanarak postgres imajım için bir scan başlatıyorum. Söz dizimi .\trivy.exe image imagename:tag şeklinde
Tarama sonucu bir hayli uzun, bir kısmının ekran görüntüsünü paylaşıyorum.
Ayrıca tarama sonuçlarınızı json formatında çalıştırdığınız dizindeki bir dosyaya da yazdırabilirsiniz. Bu işlem için aşağıdaki komutları kulllanabilirsiniz.
.\trivy.exe image postgres:12 –format json > sonuc.txt
Faydalı Olması Dileklerimle,