Securityscanner Aqua Security Trivy

Trivy [1] wird von der israelischen Firma Aqua Security als Open-Source-Tool bereitgestellt und scannt neben der Sicherheit von Container-Images auch Dateisysteme, Git Repositories und Kubernetes-Cluster und -Ressourcen. Zudem kann die Software OS-Packages und Software Dependencies (auch Software Bill of Material genannt), bekannte Sicherheitslücken (CVEs), Infrastructure-as-Code-Falschkonfigurationen sowie sensitive Information und Passwörter finden.

Installation

Die Installation von Trivy unterstützt alle gängigen Linux-Distributionen sowie macOS. Alternativ lässt sich Trivy als Container betreiben. Eine ausführliche Installationsanleitung finden Sie ebenfalls unter [1]. Bei der Installation unter Debian/ Ubuntu klappt das Aufsetzen des Scanners wie folgt:

sudo apt-get install wget apt-transport-https gnupg lsb-release

wget -qO -https://aquasecurity.github.io/trivy-repo/deb/public.key | sudo apt-key add -

echo deb https://aquasecurity.github.io/trivy-repo/deb $(lsb_release -sc) main | sudo tee -a /etc/apt/sources.list.d/trivy.list

sudo apt-get update

sudo apt-get install trivy

Einführung in Securityscans

Sobald die Installation abgeschlossen ist, können Sie mit dem Scannen beginnen. Wir zeigen dies am Beispiel des bekannten nginx-Images. Zuerst laden wir dabei das Image herunter:

sudo docker pull nginx

Den Scan starten Sie dann via »trivy image nginx« . Die folgende Ausgabe ist relativ lang und Bild 1 zeigt daher nur einen Ausschnitt davon. Sie sehen darin neben der Bibliothek und der dazugehörigen Version auch die CVE-Nummer und eine

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.