Fermer

avril 5, 2024

Trivy : un scanner de sécurité complet

Trivy : un scanner de sécurité complet


Introduction

CIS est une organisation à but non lucratif renommée qui propose des recommandations sur les meilleures pratiques de sécurité ; Les offres incluent un certain nombre de directives pour configurer et sécuriser les clusters K8.

Trivy est un outil complet d’audit de sécurité des conteneurs qui apporte la puissance de l’audit de conformité CIS (Center for Internet Security) aux clusters K8.

Pourquoi adopter Trivy ?

Trivy est une solution unifiée qui ne se limite pas à l’audit des clusters K8 ; mais peut être utilisé pour évaluer la configuration de l’instance, l’image Docker et la vulnérabilité. Cet avantage complet fait de Trivy un ajout précieux à plusieurs tâches au sein de notre pipeline CI.

Table des matières

  • Introduction à Trivy
  • Comment installer Trivy
  • Analyse des vulnérabilités
  • Intégration à CI-CD via les actions GitHub
  • Conclusion

Voyages

Trivy est un outil open source d’analyse des vulnérabilités et de sécurité. Pour une documentation détaillée, vous pouvez vous référer au Trivy Site de documentation

Les capacités de numérisation de Trivy comprennent :

1. Analyse des images de conteneurs
2. Systèmes de fichiers
3. Dépôts Git distants
4. Images de machines virtuelles
5. Kubernetes
6. Environnements AWS

À bas niveau, ces scanners effectuent des opérations de numérisation et déterrent

1. (Logiciel Nomenclature – SBOM) – Packages de système d’exploitation et dépendances logicielles
2. (CVE — Common Vulnerabilities and Exposures) – Vulnérabilités connues
3. Problèmes d’infrastructure en tant que code (IaC) et mauvaises configurations
4. Détermination des informations sensibles et des secrets cachés

Il prend également en charge différents langages de programmation, systèmes d’exploitation et plates-formes. Pour une liste plus détaillée, reportez-vous Couverture de numérisation page.

Comment installer Trivy ?

L’installation de Trivy est simple, en fonction de votre système d’exploitation. Pour des informations détaillées, consultez ce. Pour les utilisateurs Mac, installez Trivy via la commande ci-dessous :

brew install aquasecurity/trivy/trivy

Analyse des vulnérabilités

Il s’agit du processus d’analyse de toutes les menaces et incidents qui rendent l’environnement et le système vulnérables. Comme indiqué précédemment, l’analyse peut être effectuée sur des images de conteneurs, des systèmes de fichiers et des référentiels git distants.

Voyons ce qui se passe dans les coulisses en exécutant quelques commandes de base pour chaque scénario.

   $ trivy image [image-name]

  • Analyse des vulnérabilités des services AWS :

Trivy analyse la vulnérabilité au niveau du compte AWS ; des services individuels peuvent également être analysés à l’aide des commandes ci-dessous.

 
  $ trivy aws --region us-east-1

  
  $ trivy aws --region us-east-1 --service s3

  
  $ trivy aws --region us-east-1 --service s3 --service ec2

  
  $ trivy aws --region us-east-1 --update-cache

Trivy analyse et détecte les vulnérabilités au niveau du système de fichiers.

  # Scan a local project including language-specific files
  $ trivy fs /path/to/your_project

  # Scan a single file
  $ trivy fs ./trivy-ci-test/Pipfile.lock

  • Analyse des erreurs de configuration IAC :

Trivy peut également analyser les fichiers de configuration comme IaC (terraform) pour détecter une mauvaise configuration.

 trivy config [flags] DIR

Intégration à CI-CD via les actions GitHub

L’analyse des vulnérabilités et des secrets peut être automatisée dans le cadre de votre flux de travail CI, mais elle peut faire échouer le flux de travail si une vulnérabilité est détectée.

Flux de travail Trivy CI

Trivy peut être facilement intégré au flux de travail CI en utilisant son action officielle Trivy GitHub. Vous trouverez ci-dessous des informations détaillées, voici le Action Trivy GitHub

Remarque : Pour essayer d’autres options spécifiées pour Trivy, veuillez vous référer à cet article de blog, qui décrit l’ajout de Trivy à vos propres flux de travail d’action GitHub.

Conclusion

Il est évident que l’article ci-dessus a donné une compréhension de base de l’analyse des vulnérabilités avec Trivy. Ses attributs complets de fonctionnalités personnalisées prouvent qu’il s’agit d’un outil précieux pour renforcer la sécurité de nos clusters et de notre environnement.

De plus, de nombreuses intégrations sont présentes avec les IDE, les outils CI et bien d’autres, qui sont expliquées dans la documentation officielle de Trivy. Par conséquent, nous pouvons enfin conclure que cet outil a été considéré comme un outil incontournable dans notre flux de travail CI-CD pour détecter les failles de sécurité. Continuez à nous suivre pour plus d’informations sur ces sujets.

VOUS TROUVEZ CECI UTILE ? PARTAGEZ-LE



Le meilleur outil 2023 pour ta croissance Instagram !



Source link