0

0

Python trivy / grype 的容器镜像漏洞扫描

冰川箭仙

冰川箭仙

发布时间:2026-02-20 09:17:12

|

380人浏览过

|

来源于php中文网

原创

trivy 扫描失败主因是镜像未本地拉取或未配 --remote 参数;grype 漏洞扫描不准多因数据库缓存过期;两者差异源于数据源、包识别及默认范围不同;ci 中需预更新数据库、设超时、指定 platform。

python trivy / grype 的容器镜像漏洞扫描

trivy scan 报错 failed to analyze image 或找不到镜像

本地没拉取镜像时,trivy 默认不会自动 pull,直接报这个错。它只查本地镜像仓库(docker images 能看到的),不连远程 registry。

  • 先确认镜像是否存在:docker images | grep your-image-name
  • 不存在就手动拉取:docker pull nginx:1.25,再跑 trivy image nginx:1.25
  • 想跳过本地检查、直连 registry(比如私有仓库),得加 --remote 参数,并配好 TRIVY_REGISTRY_AUTH 环境变量,否则认证失败
  • 用 tag 扫描比用 image ID 更稳——trivy image sha256:abc... 在某些版本里会解析失败

grype 为什么扫不出 CVE-2023-XXXX 这类新漏洞

grype 默认用本地缓存的漏洞数据库(~/.cache/grype/db),不是实时联网查。如果缓存超过 5 天(默认 TTL),它会静默跳过更新,继续用旧数据。

  • 强制刷新数据库:grype db update,成功后看到 updated successfully 才算生效
  • 扫描时加 --fresh 可跳过缓存直接更新再扫,但会拖慢单次执行(适合 CI 中确保最新)
  • 注意:grype 不支持私有 registry 的匿名访问,扫私有镜像必须提前 docker login,否则报 unauthorized
  • 它对 multi-platform 镜像支持弱,grype docker:your-registry/app:latest 可能默认选错 platform,建议显式指定 --platform linux/amd64

trivy vs grype:同一镜像扫描结果差异大怎么办

差异主要来自三块:漏洞数据源、包识别逻辑、默认扫描范围。不是谁“更准”,而是策略不同。

NexChatGPT
NexChatGPT

火爆全网的IDEA插件,支持IDEA全家桶

下载
  • trivy 默认启用 OS 包 + language-specific(如 package-lock.json)扫描;grype 默认只扫 OS 包,要加 --scope all-layers--add-cpes-if-none 才接近 trivy 行为
  • trivy 用的是 ghcr.io/aquasecurity/trivy-dbgrype 用的是 anchore/grype-db,CVE 收录节奏和映射规则不一样
  • 两者对 musl libc(Alpine)的识别准确率都偏低,trivy 可能漏掉 apk 包依赖链中的间接漏洞;grypego mod 生成的 go.sum 解析更细,但需要镜像里真有该文件
  • 别直接比“漏洞数”,先用 --format json 导出,按 CVE 字段去重再对比

CI 流水线里怎么避免扫描卡住或超时

容器镜像扫描在 CI 里容易变成瓶颈,尤其拉取基础镜像+解压+数据库加载全挤在单步里。

立即学习Python免费学习笔记(深入)”;

  • 把数据库更新拆成前置 job:grype db updatetrivy --download-db-only,缓存 ~/.cache/trivy/db 目录
  • trivy--timeout 5m 防死等;grype 没原生 timeout,得靠 shell 层包装:timeout 300 grype ...
  • 跳过非关键层:用 trivy image --security-checks vuln 关掉 configsecret 检查(除非你真需要)
  • 小镜像(grype 通常快 2–3 秒;大镜像(>500MB)trivy 的并行解压优势明显,但得确认 TRIVY_CACHE_DIR 不在 tmpfs 上,否则反复重建缓存反而更慢
事情说清了就结束。最常被忽略的是:数据库缓存是否更新、私有 registry 认证是否生效、multi-platform 镜像是否指定了 platform——这三个点占了实际问题的七成以上。

热门AI工具

更多
DeepSeek
DeepSeek

幻方量化公司旗下的开源大模型平台

豆包大模型
豆包大模型

字节跳动自主研发的一系列大型语言模型

通义千问
通义千问

阿里巴巴推出的全能AI助手

腾讯元宝
腾讯元宝

腾讯混元平台推出的AI助手

文心一言
文心一言

文心一言是百度开发的AI聊天机器人,通过对话可以生成各种形式的内容。

讯飞写作
讯飞写作

基于讯飞星火大模型的AI写作工具,可以快速生成新闻稿件、品宣文案、工作总结、心得体会等各种文文稿

即梦AI
即梦AI

一站式AI创作平台,免费AI图片和视频生成。

ChatGPT
ChatGPT

最最强大的AI聊天机器人程序,ChatGPT不单是聊天机器人,还能进行撰写邮件、视频脚本、文案、翻译、代码等任务。

相关专题

更多
nginx 重启
nginx 重启

nginx重启对于网站的运维来说是非常重要的,根据不同的需求,可以选择简单重启、平滑重启或定时重启等方式。本专题为大家提供nginx重启的相关的文章、下载、课程内容,供大家免费下载体验。

240

2023.07.27

nginx 配置详解
nginx 配置详解

Nginx的配置是指设置和调整Nginx服务器的行为和功能的过程。通过配置文件,可以定义虚拟主机、HTTP请求处理、反向代理、缓存和负载均衡等功能。Nginx的配置语法简洁而强大,允许管理员根据自己的需要进行灵活的调整。php中文网给大家带来了相关的教程以及文章,欢迎大家前来学习阅读。

516

2023.08.04

nginx配置详解
nginx配置详解

NGINX与其他服务类似,因为它具有以特定格式编写的基于文本的配置文件。本专题为大家提供nginx配置相关的文章,大家可以免费学习。

566

2023.08.04

tomcat和nginx有哪些区别
tomcat和nginx有哪些区别

tomcat和nginx的区别:1、应用领域;2、性能;3、功能;4、配置;5、安全性;6、扩展性;7、部署复杂性;8、社区支持;9、成本;10、日志管理。本专题为大家提供相关的文章、下载、课程内容,供大家免费下载体验。

242

2024.02.23

nginx报404怎么解决
nginx报404怎么解决

当访问 nginx 网页服务器时遇到 404 错误,表明服务器无法找到请求资源,可以通过以下步骤解决:1. 检查文件是否存在且路径正确;2. 检查文件权限并更改为 644 或 755;3. 检查 nginx 配置,确保根目录设置正确、没有冲突配置等等。本专题为大家提供相关的文章、下载、课程内容,供大家免费下载体验。

540

2024.07.09

Nginx报404错误解决方法
Nginx报404错误解决方法

解决方法:只需要加上这段配置:try_files $uri $uri/ /index.html;即可。想了解更多Nginx的相关内容,可以阅读本专题下面的文章。

3606

2024.08.07

nginx部署php项目教程汇总
nginx部署php项目教程汇总

本专题整合了nginx部署php项目教程汇总,阅读专题下面的文章了解更多详细内容。

49

2026.01.13

nginx配置文件详细教程
nginx配置文件详细教程

本专题整合了nginx配置文件相关教程详细汇总,阅读专题下面的文章了解更多详细内容。

67

2026.01.13

pixiv网页版官网登录与阅读指南_pixiv官网直达入口与在线访问方法
pixiv网页版官网登录与阅读指南_pixiv官网直达入口与在线访问方法

本专题系统整理pixiv网页版官网入口及登录访问方式,涵盖官网登录页面直达路径、在线阅读入口及快速进入方法说明,帮助用户高效找到pixiv官方网站,实现便捷、安全的网页端浏览与账号登录体验。

660

2026.02.13

热门下载

更多
网站特效
/
网站源码
/
网站素材
/
前端模板

精品课程

更多
相关推荐
/
热门推荐
/
最新课程
最新Python教程 从入门到精通
最新Python教程 从入门到精通

共4课时 | 22.4万人学习

Django 教程
Django 教程

共28课时 | 4.4万人学习

SciPy 教程
SciPy 教程

共10课时 | 1.6万人学习

关于我们 免责申明 举报中心 意见反馈 讲师合作 广告合作 最新更新
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
PHP中文网订阅号
每天精选资源文章推送

Copyright 2014-2026 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号