对容器镜像的安全扫描,这个话题也越来越多,DevSecOps,也开始受到关注,想验证一下当前的 K8s 群集里,是否有 Log4j 的漏洞,应该怎么做呢?现在也不少厂商交流容器安全,先提高一下自己的能力,交流的时候有话题聊。 Trivy 是 aqua(专注云原生场景下的安全)公司的一款开源工具。 至少目前来看,他可以针对 容器的镜像 容器的 tar 包 k8s 和 terraform 的 deployment file 检测 安装 官方提供多种方式安装, 官方文档 对我来说,就选择 rpm 包的方式安装,最简单。 用 go 开发的,就一个执行文件搞定。 安全扫描通常都是需要下载安全漏洞的数据库……