Trivy(发音类似“triv-ee”)是一款轻量、快速、零配置的安全扫描工具,专为现代云原生环境而生。它能像“安全显微镜”一样,自动深入容器镜像、Kubernetes集群、源码仓库甚至云基础设施中,精准识别已知漏洞(CVE)、敏感密钥、不安全配置和许可证风险。对于DevSecOps团队来说,它不是另一个需要复杂集成的重型平台,而是真正能嵌入CI/CD流水线、开发本地环境甚至Git提交前检查的“安全守门员”。
核心功能
- 全栈漏洞扫描:支持主流Linux发行版(Alpine、Ubuntu、CentOS等)及Java、Python、Node.js、Ruby、Rust等数十种语言的依赖包,自动检测软件成分(SBOM)与对应CVE漏洞,无需Docker守护进程即可离线扫描镜像tar包。
- 基础设施即代码(IaC)安全审计:原生支持Terraform、Kubernetes YAML/Helm、Dockerfile、CloudFormation等格式,自动发现不合规配置——比如K8s Pod以root运行、S3存储桶公开可读、EC2实例缺少加密盘等高危misconfiguration。
- 敏感信息与密钥泄露检测:智能识别硬编码的API密钥、AWS凭证、私钥、OAuth令牌等100+类敏感字符串,支持自定义正则规则,有效防范“代码即泄露”的典型风险。
- 多目标统一扫描体验:一份命令即可扫描容器镜像、本地文件系统、远程Git仓库(如GitHub/GitLab)、VM镜像(qcow2/vmdk)或实时K8s集群,告别多个工具来回切换。
- 开发者友好设计:默认输出简洁易读的终端报告(支持JSON、SARIF、HTML等多种格式),内置缓存加速重复扫描,首次运行后后续扫描秒级完成;支持静默模式、严重等级过滤(–severity HIGH,CRITICAL)和忽略规则(.trivyignore)。
- 企业级就绪能力:提供离线扫描支持(可预下载漏洞数据库)、Air-Gapped环境适配、OCI镜像签名验证、与JFrog Artifactory、GitHub Actions、GitLab CI、Argo CD等深度集成,满足合规审计与规模化落地需求。
适合哪些人用
运维工程师可以用它在上线前批量扫描所有K8s清单和Helm Chart;安全团队能将其纳入自动化红蓝对抗流程,定期巡检生产环境镜像与云配置;SRE和平台工程师可将Trivy嵌入镜像构建流水线,实现“不安全不入库”;而开发者只需在IDE中装个插件或执行一条命令,就能在写完代码后立刻发现潜在安全风险——它真正做到了让安全左移,且不增加额外负担。
快速上手
安装极简,5秒完成:
- macOS用户:
brew install trivy - Linux/macOS一键下载二进制:
curl -sfL https://raw.githubusercontent.com/aquasecurity/trivy/main/contrib/install.sh | sh -s -- -b /usr/local/bin - Docker方式(免安装):
docker run --rm -v $(pwd):/workspace aquasec/trivy:latest image nginx:1.25 - 扫描本地项目(含代码依赖+配置文件):
trivy fs --security-checks vuln,config,secret ./my-app - 扫描Kubernetes集群:
trivy k8s --report all --format table cluster(需提前配置kubectl上下文)
更多实用示例见官方中文文档(已提供完整中文翻译)。
项目信息
📦
aquasecurity/trivy
GitHub
aquasecurity/trivy
GitHub
Find vulnerabilities, misconfigurations, secrets, SBOM in containers, Kubernetes, code repositories, clouds and more
编程语言:Go|GitHub Star 数:35,440|开源协议:Apache-2.0|GitHub 项目地址
如果你正在寻找一个不用学习成本、不拖慢开发节奏、却能在真实生产环境中扛住考验的开源安全扫描器——Trivy 就是那个“来了就能用,用了就离不开”的答案。
