In modernen Container-Umgebungen ist Sicherheit ein zentraler Aspekt. Schwachstellen in Docker Images können die gesamte Infrastruktur gefährden. Security Scanning mit Tools wie Trivy ermöglicht es, Docker Images automatisiert auf bekannte Schwachstellen zu prüfen und zusätzlich Software-Bill-of-Materials (SBOMs) zu erzeugen, die den Softwarebestand transparent machen. Damit können Teams proaktiv Sicherheitsrisiken minimieren und Compliance-Anforderungen erfüllen.
Was ist Trivy?
Trivy ist ein Open-Source-Scanner, der Docker Images, Filesysteme und Repositories auf Sicherheitslücken analysiert. Es unterstützt CVE-Prüfungen, Konfigurationsprüfungen und die Erstellung von SBOMs. Trivy ist leichtgewichtig, einfach zu integrieren und eignet sich für CI/CD-Pipelines.
Trivy Features im Überblick
- Scan von Container Images auf bekannte Sicherheitslücken.
- Unterstützung für CVE-Datenbanken, inklusive NVD, Red Hat und Alpine.
- Erstellung von Software-Bill-of-Materials (SBOMs) in Formaten wie SPDX oder CycloneDX.
- Integration in CI/CD-Pipelines und Automatisierung von Security Gates.
- Überprüfung lokaler Verzeichnisse und Git-Repositories.
Installation von Trivy
Trivy lässt sich schnell auf Linux, macOS und Windows installieren. Für Linux-Server ist die Paketinstallation oder die Nutzung eines Docker Containers üblich.
Installation via apt (Debian/Ubuntu)
sudo apt update
sudo apt install wget apt-transport-https gnupg lsb-release -y
wget -qO - https://aquasecurity.github.io/trivy-repo/deb/public.key | sudo apt-key add -
echo deb https://aquasecurity.github.io/trivy-repo/deb $(lsb_release -sc) main | sudo tee /etc/apt/sources.list.d/trivy.list
sudo apt update
sudo apt install trivy -yInstallation via Docker
docker run --rm -v /var/run/docker.sock:/var/run/docker.sock aquasec/trivy image Docker Images scannen
Trivy prüft Images auf CVEs und meldet Schwachstellen mit Details zu Schweregrad, betroffener Software und Versionsnummer.
Ein einfaches Scan-Beispiel
# Lokales Image scannen
trivy image nginx:latest
Ergebnis enthält:
- Package Name
- Installed Version
- Vulnerability ID (CVE)
- Severity
- Fix Version
Scan mit Ausgabeformaten
Trivy unterstützt mehrere Ausgabeformate, die sich für Reports oder Automatisierungen eignen.
# JSON Output
trivy image --format json nginx:latest > report.json
Table Output
trivy image --format table nginx:latest
SARIF Output für Security Gate Integration
trivy image --format sarif nginx:latest > report.sarif
SBOMs erstellen
SBOMs dokumentieren alle Komponenten eines Images oder Projekts. Das erleichtert Audits, Compliance und Nachverfolgung von Abhängigkeiten.
SBOM Generation mit Trivy
# SPDX Format
trivy image --format spdx-json --output sbom.json nginx:latest
CycloneDX Format
trivy image --format cyclonedx-json --output sbom-cdx.json nginx:latest
SBOMs in CI/CD nutzen
- Automatisches Prüfen von Softwarebestand bei jedem Build.
- Integration mit Security Gates, z. B. Build blockieren bei hoher CVE-Priorität.
- Auditfähige Historie aller Images für Compliance-Zwecke.
CI/CD Integration von Trivy
Trivy lässt sich problemlos in Pipelines von GitHub Actions, GitLab CI oder Jenkins einbinden, um Images vor Deployment zu prüfen.
Beispiel GitHub Action
name: CI
on:
push:
branches: [ main ]
jobs:
scan:
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v3
- name: Scan Docker Image
uses: aquasecurity/trivy-action@v0.8.0
with:
image-ref: myorg/myapp:latest
format: 'table'
exit-code: '1'
ignore-unfixed: true
Beispiel GitLab CI
stages:
- scan
trivy_scan:
stage: scan
image: aquasec/trivy:latest
script:
- trivy image --exit-code 1 --severity CRITICAL,HIGH myorg/myapp:latest
Security Best Practices
- Regelmäßig Scans automatisieren, nicht nur manuell.
- SBOMs versionieren und archivieren.
- Images immer aktualisieren, Base Images prüfen.
- Schwachstellen mit hoher Priorität sofort adressieren.
- Trivy in Kombination mit Docker Content Trust für Signaturen nutzen.
Fazit
Trivy ist ein leistungsfähiges Werkzeug für die proaktive Sicherheit von Docker-Umgebungen. Durch regelmäßige Scans, die Integration in CI/CD-Pipelines und die Nutzung von SBOMs lassen sich Sicherheitslücken frühzeitig erkennen und Software-Bestände transparent dokumentieren. Teams profitieren von reproduzierbaren, auditfähigen Deployments und erhöhen die Sicherheit ihrer Container-Infrastruktur erheblich.
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3
Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.
Meine Leistungen umfassen:
-
Professionelle Konfiguration von Routern und Switches
-
Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen
-
Erstellung von Topologien und Simulationen in Cisco Packet Tracer
-
Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG
-
Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible
-
Erstellung von Skripten für wiederkehrende Netzwerkaufgaben
-
Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege
-
Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting
Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.
