日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

自誕生以來，Trivy 因其簡單的方法和跨操作系統(tǒng)包和特定于語言的依賴項的全面漏洞跟蹤而廣受歡迎和支持。云本地計算基金會的終端用戶社區(qū)選擇Trivy作為2021年CNCF終端用戶技術(shù)雷達(dá)的頂級開發(fā)secops工具。Trivy已經(jīng)被許多領(lǐng)先的云原生平臺和軟件供應(yīng)商采用，包括Litmus、Kyverno、Istio和ExternalDNS；它是Harbor、GitLab和Artifact Hub的默認(rèn)掃描器；微軟Azure Defender的CI/CD掃描也是由Trivy支持的。

Trivy 自創(chuàng)建以來已經(jīng)發(fā)展了很多，我們對簡單性和有效性的關(guān)注使其成為任何開發(fā)人員工具包中的關(guān)鍵工具。在本文中，我將向大家介紹 Trivy 如何將安全性集成到構(gòu)建過程中，分享一些最近的進(jìn)展，并解釋 Trivy 如何融入更廣泛的 Aqua Security 開源生態(tài)系統(tǒng)，以保護(hù)云原生應(yīng)用程序的整個生命周期.

Trivy 的工作原理

云原生安全之旅始于對代碼中存在的漏洞的可見性。在開發(fā)階段識別和緩解問題可減少攻擊面并消除風(fēng)險。對于云原生應(yīng)用程序，這涉及在構(gòu)建圖像和功能時掃描它們，以及早發(fā)現(xiàn)問題并允許快速修復(fù)，以及持續(xù)掃描注冊表以解決新發(fā)現(xiàn)的漏洞。

Trivy 使 DevOps 團(tuán)隊能夠根據(jù)開發(fā)需要盡快設(shè)置和開始掃描。部署和集成到 CI/CD 管道就像下載和安裝二進(jìn)制文件一樣簡單。Trivy 可以集成到 CI 工具中，例如 Travis CI、CircleCI 和 GitLab CI。如果發(fā)現(xiàn)漏洞，Trivy 可以設(shè)置為使作業(yè)運行失敗。Trivy 也可作為 GitHub Action 使用，它可以與 GitHub 代碼掃描輕松集成。開發(fā)人員可以將容器鏡像掃描構(gòu)建到他們的 GitHub Actions 工作流程中，以在漏洞投入生產(chǎn)之前發(fā)現(xiàn)并消除漏洞。

???

???

與其他開源掃描器不同，Trivy 提供跨操作系統(tǒng)包和編程語言包的全面可見性。它比其他工具更快地獲取漏洞數(shù)據(jù)，因此掃描只需幾秒鐘，并且可以直接在命令行中過濾關(guān)鍵 CVE。

???

Trivy 具有緊湊的數(shù)據(jù)庫，具有不需要外部中間件或數(shù)據(jù)庫依賴項的自動更新功能。Trivy 將通過從 GitHub 下載最新的預(yù)構(gòu)建版本來自動使數(shù)據(jù)庫保持最新。這使得該工具非?？焖俸透咝АＴ摴ぞ咛峁┮研迯?fù)和未修復(fù)漏洞的結(jié)果，以及對 Alpine Linux 等操作系統(tǒng)的低誤報。

最近的 Trivy 進(jìn)展

Trivy 的開發(fā)非常強(qiáng)調(diào)可用性、性能和功效，過去幾年取得的進(jìn)步支持了這些基本原則。我們添加了有助于 DevOps 團(tuán)隊及其流程的功能，同時確保該工具保持高效且易于使用。

除了容器鏡像掃描之外，Trivy 現(xiàn)在還支持掃描文件系統(tǒng)和 Git 存儲庫。這些功能有助于加強(qiáng)容器安全最佳實踐，例如維護(hù)一組維護(hù)良好且安全的基礎(chǔ)鏡像。例如，Aqua Security 最近使用 Docker Hub API 提取了官方 Docker 鏡像的樣本，然后掃描這些鏡像中的漏洞。我們發(fā)現(xiàn)許多鏡像運行不受支持的操作系統(tǒng)，包括舊版本的 Debian 或 Alpine，并且在某些情況下，不再支持官方鏡像。

???

我們還發(fā)現(xiàn)了具有大量未修補(bǔ)漏洞但沒有正式棄用信息的圖像。這包括 Nuxeo (186)、Backdrop (173)、Kaazing Gateway (95) 和 CentOS (86)。最后一個 CentOS 在 2021 年 7 月 29 日至 8 月 10 日期間的下載量已超過 700 萬次。 擁有像 Trivy 這樣有效的掃描器可以確保開發(fā)團(tuán)隊使用維護(hù)良好且安全的基礎(chǔ)鏡像，從而降低被利用的風(fēng)險.

Trivy 現(xiàn)在還可以用作客戶端和服務(wù)器。這些功能易于設(shè)置和開始使用。提供了官方的 Helm chart，可以將 Trivy 服務(wù)器安裝在 Kubernetes 集群中，并且支持 Redis 作為緩存后端以進(jìn)行擴(kuò)展。

我們最近添加的功能是[掃描基礎(chǔ)設(shè)施即代碼 (IaC) 工具（例如 Kubernetes、Docker 和 Terraform ）的配置文件，以檢測錯誤配置。Trivy 可以解析常用的云原生格式，然后應(yīng)用一組對良好安全實踐進(jìn)行編碼的規(guī)則。這允許快速識別可能的安全問題和強(qiáng)化應(yīng)用程序工件的機(jī)會，例如 Dockerfiles 和 Kubernetes 清單。

Terraform 掃描利用了 Tfsec 項目的優(yōu)秀規(guī)則集，該項目最近加入了 Aqua 開源軟件生態(tài)系統(tǒng)。有幾組檢查涵蓋了三個主要的云提供商，并且可以在多個位置使用 Tfsec 規(guī)則庫，幫助確保在整個開發(fā)過程中一致的策略應(yīng)用。

未來的 Trivy 增強(qiáng)功能將為 Ansible、CloudFormation 和 Helm 添加 IaC 掃描支持。其他更新將為最近發(fā)布的 AlmaLinux、Rocky Linux 和其他新操作系統(tǒng)添加 Trivy 支持，并擴(kuò)展對編程語言的支持并引入對軟件物料清單 (SBOM) 的支持。

用于云原生安全的開源生態(tài)系統(tǒng)

Trivy 是 Aqua 開源云原生安全項目組合的一部分。我們將開源視為實現(xiàn)安全民主化的一種方式，并通過可訪問的工具對工程、安全和開發(fā)團(tuán)隊進(jìn)行教育，縮小技能差距，并在應(yīng)用程序投入生產(chǎn)之前將安全控制自動化到云原生管道中。我們的其他開源項目包括：

• Tracee：使用 eBPF 跟蹤和研究驅(qū)動的行為簽名在運行時檢測可疑行為。
• Tfsec：通過隨處運行的設(shè)計提供 Terraform 掃描，確保在部署之前識別漏洞，無論復(fù)雜性如何。
• Starboard：Kubernetes 原生安全工具包，用于掃描 Kubernetes 集群中工作負(fù)載使用的圖像。
• Kube-bench：作為 2018 年 InfoWorld Bossie 獎的獲得者，Kube-bench 會根據(jù) CIS Kubernetes 基準(zhǔn)測試中的建議自動確定是否配置了 Kubernetes。
• Kube-hunter：一種滲透測試工具，用于搜索 Kubernetes 集群中的弱點，因此管理員、操作員和安全團(tuán)隊可以在攻擊者利用它們之前識別并解決任何問題。
• CloudSploit：提供云安全狀態(tài)管理 (CSPM)，根據(jù)安全最佳實踐評估云帳戶和服務(wù)配置。
• Appshield：用于檢測配置文件和基礎(chǔ)架構(gòu)即代碼定義中的錯誤配置（特別是安全問題）的策略集合。

這些項目與 Aqua 的云原生應(yīng)用程序保護(hù)平臺以及許多常用的 DevOps 生態(tài)系統(tǒng)工具集成，以幫助推動更快地采用云原生技術(shù)和流程，同時保持安全性。它們由 Aqua 的開源團(tuán)隊提供支持，該團(tuán)隊與商業(yè)工程分開運作。我們相信，這使我們能夠繼續(xù)致力于提供長期支持、使用高質(zhì)量代碼創(chuàng)建按需功能，并不斷為開源社區(qū)中的其他項目做出貢獻(xiàn)。

【譯稿，合作站點轉(zhuǎn)載請注明原文譯者和出處為.com】

本文標(biāo)題：如何友好地將安全性集成到CI/CD中？
URL鏈接：http://www.dlmjj.cn/article/dhhspco.html