Trivy - narzędzie do skanowania podatności obrazów Docker

Budując lub wykorzystując obraz Dockerowy warto mieć świadomość że ten obraz często i gęsto posiada własne zależności, np. różnego rodzaju oprogramowanie zainstalowane przez Twórców obrazu dockerowego. Każde z tych narzędzi czy bibliotek może posiadać swoje podatności bezpieczeństwa.

Jeżeli zbudujemy obraz, np. bazując na Node.js, który z kolei bazuje m.in. na buildpack-deps:stretch, to musimy mieć świadomość, że jeśli ta paczka będzie posiadała jakąś podatność bezpieczeństwa to nasz obraz również będzie ją posiadał. W tym celu warto skanować obrazy dockerowe pod kątem podatności bezpieczeństwa. Przykładowe narzędzie: Trivy.

Linki

• https://trivy.dev/latest/ - strona projektu
• https://github.com/aquasecurity/trivy - kod źródłowy na githubie
• Blogpost - dlaczego warto skanować kontenery