【.comExpress翻译】将漏洞扫描自动化到开发过程中可以降低攻击成功的可能性,并有助于保护容器化的工作负载。这样做的主要工具之一是AquaSecurity的Trivy,这是一种易于使用的开源漏洞扫描器,可帮助团队“左移”以将安全性纳入其构建管道。自成立以来,Trivy因其简单的方法和跨操作系统包和特定语言依赖项的全面错误跟踪而受到欢迎和支持。云原生计算基金会的最终用户社区已选择Trivy作为2021CNCF最终用户技术雷达的顶级开发secops工具。Trivy已被许多领先的云原生平台和软件供应商采用,包括Litmus、Kyverno、Istio和ExternalDNS;它是Harbor、GitLab和ArtifactHub的默认扫描器;MicrosoftAzureDefender的CI/CD扫描也由Trivy提供支持。Trivy自创建以来已经发展了很多,我们对简单性和有效性的关注使其成为任何开发人员工具包中的关键工具。在本文中,我将向您介绍Trivy如何将安全性集成到构建过程中,分享一些最新进展,并解释Trivy如何融入更广泛的AquaSecurity开源生态系统以在其整个生命周期中保护云原生应用程序。.Trivy的工作原理云原生安全之旅始于对代码中存在的漏洞的可见性。在开发阶段识别和缓解问题可以减少攻击面并消除风险。对于云原生应用程序,这涉及在构建图像和功能时对其进行扫描,及早发现问题并允许快速修复,并持续扫描注册表以解决??新发现的漏洞。Trivy使DevOps团队能够根据开发需要尽快设置和开始扫描。部署和集成到CI/CD管道就像下载和安装二进制文件一样简单。Trivy可以集成到TravisCI、CircleCI和GitLabCI等CI工具中。如果发现漏洞,可以将Trivy设置为使作业运行失败。Trivy也可以作为GitHub操作使用,它可以轻松地与GitHub代码扫描集成。开发人员可以将容器镜像扫描构建到他们的GitHubActions工作流中,以便在投入生产之前发现并消除漏洞。与其他开源扫描器不同,Trivy提供跨操作系统包和编程语言包的全面可见性。它比其他工具更快地获取漏洞数据,因此扫描只需几秒钟,并且可以直接从命令行过滤关键的CVE。Trivy有一个紧凑的数据库,可以自动更新,不需要外部中间件或数据库依赖。Trivy将通过从GitHub下载最新的预构建版本自动保持数据库最新。这使得该工具非常快速和高效。该工具提供已修复和未修补漏洞的结果,对AlpineLinux等操作系统的误报率较低。Trivy的最新发展Trivy的开发非常强调可用性、性能和能效,过去几年取得的进步支持这些基本原则。我们添加了有助于DevOps团队及其流程的功能,同时确保该工具保持高效且易于使用。除了容器镜像扫描,Trivy现在还支持扫描文件系统和Git存储库。这些功能有助于实施容器安全最佳实践,例如维护一组维护良好且安全的基础映像。例如,AquaSecurity最近使用DockerHubAPI提取官方Docker镜像样本,然后扫描这些镜像中的漏洞。我们发现许多镜像运行不受支持的操作系统,包括旧版本的Debian或Alpine,在某些情况下,官方镜像不再受支持。我们还发现了存在大量未修复漏洞但没有官方弃用信息的镜像。这包括Nuxeo(186)、Backdrop(173)、KaazingGateway(95)和CentOS(86)。在2021年7月29日至8月10日期间,最新的CentOS已被下载超过700万次。拥有像Trivy这样的有效扫描器可以确保开发团队使用维护良好且安全的基础映像,从而降低被利用的风险。Trivy现在也可以用作客户端和服务器。这些功能易于设置和上手。提供官方Helmchart,Trivy服务器可以安装在Kubernetes集群中,支持Redis作为缓存后端进行伸缩。我们最近添加的功能是[扫描基础架构即代码(IaC)工具(例如Kubernetes、Docker和Terraform)的配置文件以检测错误配置。Trivy可以解析常见的云原生格式,然后应用一组编码良好安全实践的规则。这允许快速识别可能的安全问题和机会来强化应用程序工件,例如Dockerfiles和Kubernetes清单。Terraform扫描利用了Tfsec项目的优秀规则集,该项目最近加入了Aqua开源软件生态系统。有几组检查涵盖三大云提供商,Tfsec规则库在多个位置可用,有助于确保在整个开发过程中应用一致的策略。未来的Trivy增强功能将添加对Ansible、CloudFormation和Helm的IaC扫描支持。其他更新将为最近发布的AlmaLinux、RockyLinux和其他新操作系统添加Trivy支持,以及扩展对编程语言的支持并引入对软件物料清单(SBOM)的支持。云原生安全Trivy开源生态系统是Aqua开源云原生安全产品组合的一部分。我们将开源视为一种通过可访问的工具使安全民主化的方式,这些工具可以教育工程、安全和开发团队,缩小技能差距,并在应用程序投入生产之前将安全控制自动化到云原生管道中。我们的其他开源项目包括:Tracee:使用eBPF跟踪和研究驱动的行为签名在运行时检测可疑行为。Tfsec:通过设计提供Terraform扫描以在任何地方运行,确保在部署之前识别漏洞,无论其复杂性如何。Starboard:一个Kubernetes原生安全工具包,用于扫描Kubernetes集群中工作负载使用的图像。Kube-bench:Kube-bench是2018年InfoWorldBossieAward的获得者,它根据CISKubernetesBenchmark的建议自动判断是否配置了Kubernetes。Kube-hunter:一种渗透测试工具,用于搜索Kubernetes集群中的弱点,因此管理员、操作员和安全团队可以在攻击者利用它们之前识别并修复任何问题。CloudSploit:提供云安全状态管理(CSPM),根据安全最佳实践评估云帐户和服务配置。Appshield:一组用于检测配置文件和基础架构即代码定义中的错误配置(尤其是安全问题)的策略。这些项目集成了Aqua的云原生应用程序保护平台和许多流行的DevOps生态系统工具,以帮助推动更快地采用云原生技术和流程,同时保持安全性。它们由Aqua的开源团队提供支持,该团队与商业工程分开运作。我们相信,这使我们能够继续致力于提供长期支持,使用高质量代码创建按需功能,并继续为开源社区的其他项目做出贡献。【翻译稿件,合作网站转载请注明原译者和出处.com】
