• # trivy / analyse d'image

    Posté par (site web personnel) . En réponse à la dépêche Harbor 2.0. Évalué à 2.

    Analyse d’image

    Trivy remplace Clair comme outil d’analyse par défaut. Clair reste disponible. Un des gros avantages de Trivy est d’analyser toutes les couches des images au lieu de seulement la dernière couche. Cela permet de trouver des vulnérabilités dans des bibliothèques compilées en statique.

    Trivy permet aussi d'autres choses sympa, comme le fait de scanner les fichers de dépendances ruby, python, etc. Genre les Gemfile.lock vont être scannés à la recherche des vulnérabilités. L'avantage est que ça fonctionne même si les dépendances ne sont chargées qu'au runtime.

    Je joue pas mal avec trivy en ce moment, j'aime vraiment bien. C'est petit, rapide, efficace (et open source). C'est aussi facile à poser dans une CI.
    Avec des solutions du genre (il y en a aussi d'autres) il n'y a pas vraiment de raisons de s'en passer, et c'est une très bonne aide pour avoir à minima une idées des failles qui sont présentes dans les images.