trivy
SHA-256Trivy 是一款全能开源安全扫描器,能扫描容器、Kubernetes、代码仓库、云环境等中的漏洞、配置错误和密钥。
一个命令搞定容器、K8s、代码的安全扫描
核心功能
- 支持容器镜像、文件系统、Git 仓库、虚拟机、K8s 等多种扫描目标
- 内置漏洞检测、配置错误审计、密钥扫描、许可证合规四大扫描器
- 集成 GitHub Actions、VS Code、Kubernetes Operator 等主流平台
- 扫描结果可生成 SBOM(软件物料清单),支持多种输出格式(JSON/表格/HTML)
- 主动维护,社区活跃,35K+ GitHub Stars
避坑指南
- •Canary 构建版本可能包含严重 Bug,不要用于生产环境。扫描大型镜像或仓库时,建议启用缓存(--cache-dir 指定缓存路径)以避免重复下载。某些编程语言(如 Java)需要额外配置依赖解析器才能准确检测漏洞。
适用场景
- CI/CD 流水线中自动扫描容器镜像和代码仓库的安全问题
- Kubernetes 集群的配置合规检查与密钥泄露检测
详细介绍
Trivy 是 Aqua Security 出品的一款全能开源安全扫描器。它支持扫描容器镜像、文件系统、Git 仓库、虚拟机镜像和 Kubernetes 等多种目标,能够发现已知漏洞(CVE)、基础设施即代码(IaC)配置错误、敏感信息(密钥)、软件物料清单(SBOM)以及许可证问题。相比其他安全工具(如仅聚焦容器的 Clair 或仅扫描密钥的 GitLeaks),Trivy 将漏洞检测、配置审计、密钥扫描与许可证合规整合在单一二进制中,覆盖从开发到生产全流程。它原生支持绝大多数编程语言和平台,可集成到 GitHub Actions、VS Code 和 K8s Operator,且完全开源。
标签
快速上手
安装软件
根据你的发行版安装对应的包(dpkg / rpm / AppImage)
macOS 用户使用 Homebrew 安装:brew install trivy
Docker 用户直接运行:docker run aquasec/trivy image python:3.4-alpine
Linux/Windows 用户从 GitHub Releases 下载对应平台的二进制文件
- macOS 用户使用 Homebrew 安装:brew install trivy
- Docker 用户直接运行:docker run aquasec/trivy image python:3.4-alpine
- Linux/Windows 用户从 GitHub Releases 下载对应平台的二进制文件
已提供 SHA-256 校验码,下载后可自行核对文件完整性
该校验码提取自 GitHub 官方 Release 页面
SHA256 校验码
382250158fb9431ff9b87904205027b066a544234b8952b2dd764bd712d55387该校验码提取自 GitHub Release 页面,下载后请自行核对文件完整性
本平台所有 SHA-256 校验码均提取自项目在 GitHub 官方 Release 页面发布的文件,未做任何修改。你可以通过 GitHub Releases 页面自行验证。
开源透明
查看 GitHub 源码卸载说明
Homebrew 安装的用 brew uninstall trivy 卸载;Docker 用户删除镜像即可;手动安装的删除下载的二进制文件。
无额外依赖
下载后即可直接使用,无需安装其他运行环境