Trivy (от «Triangular Vulnerability Scanner») — это универсальный и простой в использовании сканер уязвимостей с открытым исходным кодом, предназначенный для анализа контейнеров, исходного кода, репозиториев Git, образов Docker, Kubernetes-кластеров и других компонентов DevSecOps. Он разработан компанией Aqua Security и активно используется в процессе безопасной поставки программного обеспечения.
Ключевые возможности Trivy
- Сканирование контейнеров: проверка Docker-образов на наличие известных уязвимостей (CVEs).
- Сканирование исходного кода (IaC): анализ Terraform, Kubernetes YAML, Dockerfile и других файлов инфраструктуры.
- Анализ зависимостей: определение уязвимостей в библиотеках (Go, Python, Java, JavaScript и др.).
- Интеграция с CI/CD: простая интеграция с GitHub Actions, GitLab CI, Jenkins, и другими пайплайнами.
- Сканирование live Kubernetes кластеров: проверка на уязвимости и конфигурационные ошибки.
- Отчётность в различных форматах: JSON, таблица, SARIF и т. д.
Плюсы Trivy
✔ Бесплатен и с открытым исходным кодом — полностью доступен для корпоративного и личного использования.
✔ Прост в установке и использовании — однострочная установка, минимум зависимостей.
✔ Быстрый сканер — высокое время отклика даже при сканировании больших образов.
✔ Поддерживает множество форматов и технологий — контейнеры, IaC, Git-репозитории, бинарные файлы.
✔ Интеграция с DevOps — легко подключается к пайплайнам CI/CD.
✔ Обновляемая база уязвимостей — использует актуальные CVE-базы, включая NVD, Red Hat, Debian, Alpine и др.
Минусы Trivy
❌ Относительно базовая аналитика — нет продвинутых функций, как у некоторых коммерческих решений.
❌ Не анализирует поведение в реальном времени — работает только с известными уязвимостями, не включает поведенческий анализ.
❌ Ограниченная визуализация — нет встроенной веб-панели, отчёты — в основном в текстовых форматах.
❌ Нет полноценного контроля соответствия (compliance) — требуется внешняя интеграция для расширенной аналитики и аудита.
Преимущества перед конкурентами
| Инструмент | Преимущества Trivy |
|---|---|
| Clair | Проще в установке и быстрее в работе |
| Grype | Шире поддержка форматов (IaC, Git, VM) |
| Anchore Engine | Меньше требований к инфраструктуре |
| Snyk | Бесплатен и без регистрации |
| Docker Scout | Не требует Docker Hub аккаунта, локальный анализ |
Вывод
Trivy — это лёгкое, мощное и удобное решение для раннего выявления уязвимостей в процессе разработки. Оно идеально подходит для DevOps-команд, которым нужно простое, быстрое и бесплатное средство интеграции безопасности в пайплайны CI/CD. Несмотря на базовый функционал визуализации, Trivy отлично справляется со своими задачами и легко расширяется с помощью других инструментов безопасности.
