问题标签 [trivy]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
1 回答
54 浏览

docker - 无法下载漏洞数据库 - Trivy by aquasecurity

我正在尝试使用Trivy对 docker 图像运行安全扫描。Docker运行抛出错误 failed to download vulnerability DB: DB file not found,为什么?

命令:

错误:

0 投票
0 回答
1786 浏览

github - Trivy Scan 总是失败:未能下载漏洞数据库

我正在尝试从 CircleCI 中运行 Trivy Scan 并且总是遇到同样的问题。我一直禁用它,但显然扫描容器很有用。

关于“谷歌”的建议说您需要使用 GITHUB_TOKEN 来停止速率限制,但是,正如您在调试中看到的那样,我使用的是 GITHUB_TOKEN - 也许它是错误的,因为它是我的令牌(私人GitHub)项目。你如何解决这个问题?我可以先下载并安装带有 curl 或类似功能的数据库吗?

版本:

命令:

错误:

并使用调试:

0 投票
0 回答
52 浏览

security - Trivy 和 Dependency-Check 报告不同的漏洞

当我使用 Dependency-Check 运行扫描时,我得到了大量漏洞,请参见下面的示例,但是,当我使用 Trivy 运行扫描时,我只得到一个。单个漏洞是故意的 - 我去了 Trivy 的数据源页面并添加了一个有漏洞的包(否则 Trivy 报告零漏洞)。

依赖检查报告: 依赖性检查报告

琐碎报告: 繁琐的报告

所以,我的问题是 - 为什么 Dependency-Check 报告了这么多漏洞?为什么 Trivy 报告较少?很想在我的组织中使用 Trivy,但我需要了解这种差异。

我的假设是...... Trivy 只使用 github 咨询页面作为数据源,而依赖检查使用的是 NVD?为什么不两者都用?咨询页面是否仅适用于也有修复的软件包?

任何反馈超级欢迎!

0 投票
1 回答
152 浏览

linux - Trivy 扫描在 Qcow2 图像上失败

我正在尝试使用 Trivy 扫描 qcow2 图像,但它没有通过测试?

关于调试的任何建议?

0 投票
1 回答
52 浏览

json - 在连接 JSON 文件时排除空输入

我正在寻找使用 jq 连接目录中的多个 JSON 文件。大多数 JSON 文件看起来像这样

因此,为了连接它们,我使用以下 jq 查询

这似乎工作正常,我得到了预期的连接输出,直到它遇到一个 JSON 文件,其中只写了 null,当我尝试将它与其他文件连接时,我得到一个错误。

有没有办法在通过目录连接时排除这个空 JSON 文件?

我必须提到这些 JSON 文件是作为不同Trivy Image扫描的输出生成的,我无法控制输出是什么。

如果其他人以前遇到过这个问题,请帮助我。

0 投票
3 回答
1724 浏览

windows - 如何在 Windows 上运行 Trivy 扫描?

在 Trivy 的安装页面中没有提到 Windows。

我安装了适用于 Windows 的 Docker,因此 Docker 方法看起来很有希望,但有几件事我不确定:

  1. 我应该将缓存目录设置为什么?
  2. 我需要“安装 docker.sock”吗?如果是这样,我是否需要用更“Windows-ey”的东西替换该命令中的/var/runand目录?$HOME/Library/Caches

目的是扫描我使用 Docker for Windows 构建的图像。

0 投票
0 回答
72 浏览

docker - 对 aspnet:3.1-alpine 图像的 Trivy 扫描报告了有关 containerd 的中等漏洞

我们正在生成一个基于

docker 文件包含 Trivy 安全扫描。这是一个 docker 文件摘录:

dockerfile 包含一个“apk 升级”,用于在 Alpine 中获取最新的软件包版本。我们输出了 containerd 包的版本,它输出了 'containerd-1.4.8-r0' 这应该是没有漏洞的。但是,Trivy 仍然输出以下内容:

这表明 Trivy 检测到了 1.4.4 版本。我不确定下一步该尝试什么。

0 投票
0 回答
60 浏览

devops - 将 Trivy result.json 文件上传到 DefectDojo

我正在使用 trivy 进行 docker 扫描,然后将输出保存到result.json文件中。现在我正在尝试将文件发送到DefectDojo以在那里对其进行可视化,我该怎么做?

0 投票
0 回答
107 浏览

docker - 'trivy fs' 和 'trivy config' 有什么区别?

我正在使用 Trivy 进行漏洞扫描,但在使用哪些命令时遇到了一些麻烦。

trivy fsTrivy 对和的扫描到底有什么区别trivy config

对于两个扫描命令, Github 存储库听起来几乎相同:

  • trivy fs:只需指定要扫描的目录。

  • trivy config:只需指定一个包含 IaC 文件的目录,例如 Terraform 和 Dockerfile。

这两个命令都在扫描 Dockerfile。trivy config仅包含 Terraform 文件还是还扫描进一步的漏洞?

0 投票
0 回答
201 浏览

gitlab - 如何在 GitLab 中为使用 Java 的 Docker 映像运行 Trivy stable?

我使用 GitLab (Community Edition 14.0.10) 构建了一个 Spring Boot 应用程序并将其打包到 Docker 映像中。我将 Trivy 添加到我的 GitLab 管道中。

但有时 Trivy 不会检查 Java 依赖项。

代码

另请参阅GitLab CI

错误

如果我在浏览器中调用上述链接,我会得到有效响应。

日志

缺少 Java 依赖项检查的日志。

研究

我发现了一个类似的问题,请参阅扫描尝试联系 maven.org,即使在气隙环境中

我们正在使用最新版本的 v0.19.2 并看到以下错误

任何建议的解决方法或使用 maven mirror 的选项?

但我不明白403,我明白400。此外,我不想禁用 Java 扫描或使用第二个工具(问题中推荐的解决方案)。

问题

如何使用 GitLab 以稳定的方式调用 Trivy?