OpenSource-Hub
T

trivy

SHA-256
35.5k stars·개발 도구·SHA-256 체크섬 확인됨

Trivy는 컨테이너, Kubernetes, 코드 저장소, 클라우드 환경 등의 취약점, 구성 오류 및 비밀 키를 스캔할 수 있는 올인원 오픈소스 보안 스캐너입니다.

스마트 다운로드

Download 버전 다운로드

v0.71.0 · 50.1 MB

하나의 명령어로 컨테이너, K8s, 코드의 보안 스캔을 해결하다

주요 기능

  • 컨테이너 이미지, 파일 시스템, Git 저장소, 가상 머신, K8s 등 다양한 스캔 대상 지원
  • 취약점 탐지, 구성 오류 감사, 비밀 키 스캔, 라이선스 규정 준수의 4대 스캐너 내장
  • GitHub Actions, VS Code, Kubernetes Operator 등 주요 플랫폼과 통합
  • 스캔 결과로 SBOM(소프트웨어 자재 명세서) 생성 가능, 다양한 출력 형식(JSON/테이블/HTML) 지원
  • 적극적으로 유지 관리되며, 커뮤니티가 활발함, 35K+ GitHub Stars

할 수 없는 것

  • Canary 빌드 버전에는 심각한 버그가 포함될 수 있으므로 프로덕션 환경에서는 사용하지 마십시오. 대형 이미지나 저장소를 스캔할 때는 중복 다운로드를 방지하기 위해 캐시를 활성화(--cache-dir로 캐시 경로 지정)하는 것이 좋습니다. 일부 프로그래밍 언어(예: Java)는 취약점을 정확히 탐지하기 위해 추가적인 의존성 해석기 설정이 필요합니다.

사용 사례

  • CI/CD 파이프라인에서 컨테이너 이미지 및 코드 저장소의 보안 문제 자동 스캔
  • Kubernetes 클러스터의 구성 규정 준수 검사 및 키 유출 탐지

상세 설명

Trivy는 Aqua Security에서 개발한全能 오픈소스 보안 스캐너입니다. 컨테이너 이미지, 파일 시스템, Git 리포지토리, 가상 머신 이미지, Kubernetes 등 다양한 대상을 스캔하여 알려진 취약점(CVE), IaC(Infrastructure as Code) 구성 오류, 민감 정보(시크릿), SBOM(소프트웨어 자재 명세서), 라이선스 문제를 탐지할 수 있습니다. 다른 보안 도구(예: 컨테이너에 특화된 Clair, 시크릿 스캔에 특화된 GitLeaks)와 달리 Trivy는 취약점 탐지, 구성 감사, 시크릿 스캔, 라이선스 규정 준수를 단일 바이너리로 통합하여 개발부터 프로덕션까지 전체 워크플로우를 포괄합니다. 대부분의 프로그래밍 언어와 플랫폼을 기본 지원하며, GitHub Actions, VS Code, K8s Operator에 통합 가능하고 완전 오픈소스입니다.

문제 해결 & FAQ (1)

문제 해결
Terraform을 Trivy로 스캔할 때 'panic: value is null' 오류를 수정하는 방법은?

이것은 알려진 버그(GitHub 이슈 #10720)로, Terraform 맵/객체 속성에 해결되지 않은 변수 참조가 포함되어 있을 때 발생합니다. 수정 사항은 AsString()을 호출하기 전에 null 검사를 추가합니다. 해결 방법: 패치를 적용하여 소스에서 빌드하거나(AsMapValue의 가드에 !val.IsNull() 추가), 스캔 전에 모든 변수가 해결되었는지 확인합니다. 이 버그는 다음 릴리스에서 해결될 예정입니다.

원본 Issue #10720

태그

securityvulnerability-scannercontainer-securitykubernetesdevsecops

시작하기

1

설치 프로그램 다운로드

위 버튼을 클릭하여 시스템에 맞는 설치 프로그램을 다운로드

2

소프트웨어 설치

배포판에 맞는 패키지를 설치 (dpkg / rpm / AppImage)

3

macOS 사용자는 Homebrew로 설치: brew install trivy

4

Docker 사용자는 직접 실행: docker run aquasec/trivy image python:3.4-alpine

5

Linux/Windows 사용자는 GitHub Releases에서 해당 플랫폼의 바이너리 파일을 다운로드

설치 가이드
  1. macOS 사용자는 Homebrew로 설치: brew install trivy
  2. Docker 사용자는 직접 실행: docker run aquasec/trivy image python:3.4-alpine
  3. Linux/Windows 사용자는 GitHub Releases에서 해당 플랫폼의 바이너리 파일을 다운로드
파일 무결성

SHA-256 체크섬 확인됨

GitHub 공식 Release 페이지에서 추출된 체크섬

SHA256 체크섬

382250158fb9431ff9b87904205027b066a544234b8952b2dd764bd712d55387

이 체크섬은 GitHub Release 페이지에서 추출되었습니다. 다운로드 후 파일 무결성을 확인하세요.

이 플랫폼의 모든 SHA-256 체크섬은 프로젝트의 공식 GitHub Release 페이지에서 추출되었으며, 어떠한 변경도 없습니다. GitHub Releases 페이지에서 직접 검증할 수 있습니다.

오픈소스 투명성

GitHub 소스 보기
환경 가이드

제거 정보

Homebrew로 설치한 경우 `brew uninstall trivy`로 제거합니다. Docker 사용자는 이미지를 삭제하면 됩니다. 수동으로 설치한 경우 다운로드한 바이너리 파일을 삭제합니다.

추가 의존성 없음

다운로드 후 바로 사용 가능. 추가 런타임이 필요하지 않습니다.

프로젝트 정보
라이선스Apache-2.0
마지막 업데이트2026-06-27 13:50:10
GitHub 저장소공식 웹사이트

문제 발생? 아래 FAQ 확인

1 FAQ

유사한 프로젝트