📦 Trivy Security Scanner

v1.0.0

对容器、文件系统和 IaC 运行 Trivy 漏洞扫描——然后利用 AI 按可利用性、可达性和业务影响对结果进行分类……

0· 29·0 当前·0 累计

by @charlie-morrison

文件处理安全系统工具容器与虚拟化容器化

下载技能包

运行时依赖

无特殊依赖

安装命令

点击复制

官方npx clawhub@latest install trivy-security-scanner

镜像加速npx clawhub@latest install trivy-security-scanner --registry https://cn.longxiaskill.com✓ 镜像可用

需要定制？告诉我你的需求 →

技能文档

Trivy Security Scanner 对容器镜像、文件系统、Git 仓库及基础设施即代码运行 Trivy 扫描，并通过智能分级过滤漏洞噪音。与其把 500 个 CVE 甩给团队，该技能会按可利用性（EPSS）、可达性分析、修复可用性及业务上下文排序，生成可落地的修复计划。

使用场景： “扫描这个镜像的漏洞” “执行一次安全扫描” “给 CVE 分级” “检查依赖漏洞” “容器安全审计” 或合规评审前。

前置条件 # 已安装 Trivy，版本 ≥ 0.50 # 未安装时： # Debian/Ubuntu sudo apt-get install -y wget apt-transport-https gnupg lsb-release wget -qO - https://aquasecurity.github.io/trivy-repo/deb/public.key | gpg --dearmor | sudo tee /usr/share/keyrings/trivy.gpg > /dev/null echo "deb [signed-by=/usr/share/keyrings/trivy.gpg] https://aquasecurity.github.io/trivy-repo/deb $(lsb_release -sc) main" | sudo tee /etc/apt/sources.list.d/trivy.list sudo apt-get update && sudo apt-get install trivy

# macOS brew install trivy

# 更新漏洞库 trivy image --download-db-only

用法提供 1 个或多个扫描目标：容器镜像 — nginx:1.25、ghcr.io/org/app:latest 或本地镜像文件系统路径 — 扫描项目依赖与源码 Git 仓库 URL — 扫描远程仓库 Kubernetes 集群 — 扫描运行中的工作负载 SBOM 文件 — 扫描现有 CycloneDX 或 SPDX SBOM

可选参数：严重级别阈值 — 仅报告 ≥ CRITICAL/HIGH/MEDIUM/LOW 合规框架 — 映射到 SOC2、PCI-DSS、HIPAA、CIS 忽略文件 — .trivyignore 路径仅显示可修复 — fix-only

示例调用：扫描生产镜像 registry.example.com/api:v2.3.1 并给出优先级修复计划。对该项目做文件系统扫描，告诉我哪些漏洞真实可达。扫描集群内所有容器镜像并生成 SOC2 合规报告。

工作原理 Step 1：执行扫描按类型输出 JSON：容器镜像： trivy image --format json --output /tmp/trivy-image.json \ --severity CRITICAL,HIGH,MEDIUM --vuln-type os,library \ --scanners vuln,secret,misconfig --list-all-pkgs \ registry.example.com/api:v2.3.1

文件系统： trivy fs --format json --output /tmp/trivy-fs.json \ --severity CRITICAL,HIGH,MEDIUM \ --scanners vuln,secret,misconfig,license --list-all-pkgs \ /path/to/project

IaC： trivy config --format json --output /tmp/trivy-iac.json \ --severity CRITICAL,HIGH,MEDIUM /path/to/terraform

K8s 集群： trivy k8s --format json --report all --severity CRITICAL,HIGH cluster

SBOM：先 trivy image --format cyclonedx 生成，再 trivy sbom --format json 扫描。

Step 2：解析原始结果用 jq 提取漏洞摘要、可修复/不可修复数量等。

Step 3：可利用性增强为每个 CVE 追加 EPSS、CISA KEV 数据，按规则分级： Critical — 在野利用或 EPSS>0.5 → 24h 内修复 High — EPSS>0.1 且网络可达 → 1 周内修复 Medium — 有修复版本且 EPSS<0.1 → 下个迭代修复 Low — 无修复或低风险 → 接受或监控 Noise — 不可达或测试依赖 → 加入 .trivyignore

Step 4：可达性分析（后续步骤略）

数据来源：ClawHub ↗ · 中文优化：龙虾技能库