Trivy Docker镜像文档

镜像概述与主要用途

本镜像基于Alpine Linux构建，集成了Trivy容器漏洞扫描工具，支持AMD64和Aarch64架构。镜像从源代码自动构建，确保集成最新版本的Trivy，可用于对容器镜像、文件系统及配置进行安全漏洞扫描。

核心功能与特性

• 轻量级基础：基于Alpine Linux，镜像体积小，资源占用低。
• 多架构支持：同时提供AMD64（x86_64）和Aarch64（ARM64）架构版本，适配不同硬件环境。
• 自动构建：从源代码自动构建，确保镜像版本与Trivy官方版本同步。
• 标准化标签：遵循Jitesoft镜像标签规范1.0.0，便于版本管理和识别。

使用场景与适用范围

• 容器镜像漏洞扫描：检测本地或远程容器镜像中的操作系统依赖、应用依赖漏洞。
• CI/CD流程集成：在持续集成/部署流程中嵌入扫描步骤，阻止存在高危漏洞的镜像进入生产环境。
• 开发环境安全检测：开发阶段扫描本地构建的镜像，提前发现并修复安全问题。
• 生产环境合规审计：定期扫描生产环境中运行的容器，确保符合安全合规要求。

使用方法与配置说明

基本扫描命令

通过docker run命令运行容器，挂载Docker socket（用于访问本地镜像）并执行扫描：

扫描本地容器镜像

docker run --rm -v /var/run/docker.sock:/var/run/docker.sock jitesoft/trivy image [镜像名称:标签]

示例：扫描nginx:latest镜像

docker run --rm -v /var/run/docker.sock:/var/run/docker.sock jitesoft/trivy image nginx:latest

扫描运行中的容器

docker run --rm -v /var/run/docker.sock:/var/run/docker.sock jitesoft/trivy container [容器ID/名称]

扫描本地文件系统

docker run --rm -v /本地目录:/target jitesoft/trivy fs /target

高级配置

挂载缓存目录

Trivy会下载漏洞数据库至本地缓存，挂载缓存目录可避免重复下载，加速扫描：

docker run --rm \
  -v /var/run/docker.sock:/var/run/docker.sock \
  -v trivy-cache:/root/.cache/trivy \
  jitesoft/trivy image nginx:latest

指定扫描 severity 级别

仅扫描高危及以上漏洞：

docker run --rm -v /var/run/docker.sock:/var/run/docker.sock jitesoft/trivy image --severity HIGH,CRITICAL nginx:latest

输出JSON格式报告

docker run --rm -v /var/run/docker.sock:/var/run/docker.sock jitesoft/trivy image --format json -o /tmp/report.json nginx:latest

镜像标签

DockerHub

• 镜像地址：jitesoft/trivy
• 可用标签：0.12.0（特定版本）、latest（最新版本）

GitLab

• 镜像地址：registry.gitlab.com/jitesoft/dockerfiles/trivy
• 可用标签：0.12.0（特定版本）、latest（最新版本）

镜像标签规范

本镜像遵循Jitesoft镜像标签规范1.0.0，标签包含版本信息及构建元数据，便于版本追踪和兼容性管理。

许可证信息

• Trivy软件：采用Apache2许可。
• 镜像仓库文件：采用MIT许可。

注意：Trivy使用的漏洞信息来源于多个渠道，部分来源仅授权非商业用途。使用时需遵守相关许可要求。

赞助商信息

开源项目的持续开发和维护依赖社区赞助。如有赞助意向或问题，可通过邮件联系：<***>。赞助渠道包括：

• Open Collective
• GitHub Sponsors
• Patreon

Jitesoft镜像通过GitLab CI构建，运行于以下机构提供的Runner：

• Linaro
• Fosshost

上述机构与Jitesoft及相关项目无直接关联。