alpine/trivy Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务
alpine/trivyalpine
用于扫描Docker镜像漏洞和密钥的安全工具。
下载次数: 0状态:社区镜像维护者:alpine仓库类型:镜像最近更新:1 年前
Alpine/Trivy 容器镜像技术文档
镜像概述和主要用途
镜像名称:alpine/trivy
基础镜像:Alpine Linux
主要用途:轻量级容器镜像漏洞扫描工具,基于Trivy构建,用于检测容器镜像中的操作系统漏洞、语言特定依赖漏洞及敏感信息(秘密),支持本地和远程镜像扫描,适用于CI/CD流程集成、安全审计等场景。
核心功能与特性
- 多类型漏洞检测:支持操作系统级漏洞(如Alpine、Debian等发行版包漏洞)和语言特定漏洞(如Python、Java、Node.js等依赖包漏洞)。
- 秘密扫描:内置敏感信息检测功能,可识别镜像中的密钥、令牌等敏感数据(默认启用,可通过参数禁用)。
- 按严重级别筛选:支持按漏洞严重级别(CRITICAL、HIGH、MEDIUM、LOW、UNKNOWN)筛选结果,聚焦高风险漏洞。
- 本地/远程镜像支持:可扫描本地构建的镜像(如
demo)或远程仓库镜像(如quay.io/keycloak/keycloak)。 - 缓存优化:支持漏洞数据库缓存,避免重复下载,加速扫描过程(通过挂载本地缓存目录实现)。
使用场景和适用范围
- 容器镜像构建流程:在镜像构建完成后执行扫描,确保镜像无高危漏洞再进入部署流程。
- CI/CD Pipeline集成:作为自动化流程的一环,在代码合并或镜像推送前触发扫描,阻断带漏洞的镜像流转。
- 定期安全审计:对生产环境使用的镜像定期扫描,跟踪新披露漏洞(NVD等来源更新后)。
- 第三方镜像评估:引入第三方镜像(如公共仓库镜像)前,通过扫描评估其安全风险。
使用方法和配置说明
前置条件
- 已安装Docker环境(需Docker守护进程运行,确保
/var/run/docker.sock可访问)。
基本使用方法
1. 扫描本地镜像(所有漏洞)
扫描本地构建的镜像(如demo),输出所有严重级别的漏洞:
bashdocker run -ti --rm \ -v /var/run/docker.sock:/var/run/docker.sock \ # 允许Trivy访问Docker守护进程 -v ~/.cache:/root/.cache \ # 挂载缓存目录,缓存漏洞数据库 alpine/trivy image demo # 扫描本地镜像"demo"
输出说明:
结果包含镜像OS信息(如alpine 3.18.4)、漏洞总数及详情表格(库名称、CVE编号、严重级别、修复版本等)。
2. 按严重级别筛选扫描
仅扫描并输出HIGH和CRITICAL级别的漏洞(适用于聚焦高风险问题):
bashdocker run -ti --rm \ -v /var/run/docker.sock:/var/run/docker.sock \ -v ~/.cache:/root/.cache \ alpine/trivy image --severity HIGH,CRITICAL demo # --severity指定严重级别,逗号分隔
3. 扫描远程仓库镜像
扫描远程仓库中的镜像(如quay.io/keycloak/keycloak):
bashdocker run -ti --rm \ -v /var/run/docker.sock:/var/run/docker.sock \ -v ~/.cache:/root/.cache \ alpine/trivy image quay.io/keycloak/keycloak # 直接指定远程镜像地址
简化命令:通过alias定义快捷命令,方便重复使用:
bashalias scan="docker run -ti --rm -v /var/run/docker.sock:/var/run/docker.sock -v ~/.cache:/root/.cache alpine/trivy image --severity HIGH,CRITICAL" scan quay.io/keycloak/keycloak # 使用别名快速扫描
4. 加速扫描:禁用秘密扫描
默认情况下,Trivy同时启用漏洞扫描和秘密扫描。若需加速扫描(如已知无需检测秘密),可通过--scanners vuln仅启用漏洞扫描:
bashdocker run -ti --rm \ -v /var/run/docker.sock:/var/run/docker.sock \ -v ~/.cache:/root/.cache \ alpine/trivy image --scanners vuln demo # 仅扫描漏洞,禁用秘密扫描
Docker Compose部署示例
以下为通过docker-compose集成Trivy扫描的示例(扫描指定镜像并输出结果到文件):
yaml# docker-compose.yml version: '3' services: trivy-scan: image: alpine/trivy volumes: - /var/run/docker.sock:/var/run/docker.sock - ~/.cache:/root/.cache - ./scan-results:/results # 挂载目录用于保存扫描结果 command: image --severity HIGH,CRITICAL --output /results/report.txt demo # 输出结果到文件
执行扫描:
bashdocker-compose up
扫描结果将保存至./scan-results/report.txt。
常用配置参数说明
| 参数 | 说明 | 示例 |
|---|---|---|
--severity | 指定漏洞严重级别,多级别用逗号分隔(CRITICAL,HIGH,MEDIUM,LOW,UNKNOWN) | --severity HIGH,CRITICAL |
--scanners | 指定扫描类型,vuln(漏洞)、secret(秘密),默认两者均启用 | --scanners vuln |
--output | 将扫描结果输出到指定文件 | --output /results/report.txt |
--image-ref | 待扫描的镜像名称或地址(本地或远程) | demo 或 quay.io/keycloak/keycloak |
注意事项
- 缓存目录持久化:挂载
~/.cache:/root/.cache可缓存Trivy的漏洞数据库(默认路径/root/.cache/trivy),避免每次扫描重复下载,显著提升效率。 - Docker权限:确保当前用户对
/var/run/docker.sock有读写权限,否则Trivy无法访问Docker守护进程。 - 定期更新镜像:
alpine/trivy镜像需定期更新,以获取Trivy工具及漏洞数据库的最新版本。 - 结果解读:扫描结果中的“Fixed Version”表示修复漏洞的版本,建议及时更新镜像基础层或依赖包至该版本。
bitnami/trivy
bitnami
Bitnami提供的安全镜像,集成trivy工具,用于扫描容器镜像、文件系统及代码中的安全漏洞。
9 次收藏100万+ 次下载
7 个月前更新
aquasec/trivy
aquasec
Trivy是一款一体化云原生安全扫描器
81 次收藏1亿+ 次下载
13 天前更新
giantswarm/trivy
giantswarm
暂无描述
1000万+ 次下载
5 个月前更新
oowy/trivy
oowy
基于Alpine Linux的Trivy Docker镜像,用于高效扫描容器和应用程序中的安全漏洞,支持amd64/arm64v8架构,提供版本化标签,适合容器安全检测与应用漏洞审计场景。
10万+ 次下载
4 个月前更新
toolhippie/trivy
toolhippie
用于Trivy的Docker镜像,提供容器安全扫描功能,可检测容器镜像及文件系统中的漏洞、配置错误等安全问题。
1万+ 次下载
4 个月前更新
jitesoft/trivy
jitesoft
基于Alpine的Trivy容器安全扫描工具,支持amd64和aarch64架构。
1万+ 次下载
6 个月前更新
镜像拉取常见问题
使用与功能问题
错误码与失败问题
manifest unknown 错误:镜像不存在或标签错误
manifest unknown 错误
TLS/SSL 证书验证失败:Docker pull 时 HTTPS 证书错误
TLS 证书验证失败
DNS 解析超时:无法解析镜像仓库地址或连接超时
DNS 解析超时
410 Gone 错误:Docker 版本过低导致协议不兼容
410 错误:版本过低
402 Payment Required 错误:流量耗尽错误提示
402 错误:流量耗尽
401 UNAUTHORIZED 错误:身份认证失败或登录信息错误
身份认证失败错误
429 Too Many Requests 错误:请求频率超出专业版限制
429 限流错误
Docker login 凭证保存错误:Cannot autolaunch D-Bus(不影响登录)
凭证保存错误
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"