Используем trivy для сканирования уязвимостей

Обновлено Обновлено: Опубликовано Опубликовано:

«В двух словах», trivy — инструмент для сканирования безопасности. Он позволяет определить потенциальные угрозы в программном коде, конфигурации, установленных пакетах операционной системы, контейнерах и некоторое другое.

В нашей инструкции мы рассмотрим простой установку trivy на Linux и пример его использования.

Установка

На странице Github можно ознакомиться с программным продуктом и посмотреть его версии. На момент обновления данной инструкции, последняя версия была 0.46.0, поэтому мы будем устанавливать ее.

Для удобства, создадим переменную с версией:

TR_VER=0.46.0

Для разных типов Linux действия будут немного отличаться.

а) Для RPM (Rocky Linux, РЕД ОС, CentOS):

rpm -ivh https://github.com/aquasecurity/trivy/releases/download/v${TR_VER}/trivy_${TR_VER}_Linux-64bit.rpm

б) Для Deb (Debian, Ubuntu, Astra Linux):

wget https://github.com/aquasecurity/trivy/releases/download/v${TR_VER}/trivy_${TR_VER}_Linux-64bit.deb

dpkg -i trivy_*_Linux-64bit.deb

На этом установка завершена. Можно использовать команду trivy.

Сканирование

В данном разделе рассмотрим синтаксис использования утилиты trivy. Он выглядит таким образом:

trivy [global flags] command [flags] target

Важно знать про command. Существуют следующие направления для сканирования:

  • fs — сканирование всех файлов по определенному пути. Находит уязвимости, неправильные конфигурации, оставленные в проекте секреты и лицензии.
  • vm — образы виртуальных машин.
  • k8s — для кластеров kubernetes.
  • aws — сканирует учетную запись AWS на наличие неправильных конфигураций.
  • repo — репозитории GIT.
  • rootfs — корневой файловой системы.
  • image — docker-образы.
  • config — проверка корректности для конфигурационных файлов.

* возможно, в более поздних версиях trivy их будет больше.

Примеры использования

Для получения более дополнительной информации по применению trivy можно воспользоваться командой:

trivy --help

Мы же рассмотрим несколько примеров запуска сканирования, с которыми сталкивался автор.

1. Сканирование образа docker:

trivy image python:3.8

* где python:3.8 — образ с тегом.

2. Проверка всех файлов по определенному пути (в текущем расположении):

trivy fs ./

3. По умолчанию, trivy заканчивает работу с кодом 0. Но если нам нужен код 1, когда обнаружены уязвимости, то используем опцию exit-code:

trivy fs ./ --exit-code 1

4. Чтобы получить отчет о сканировании в отдельном файле html, вводим:

trivy image --format template --template "@/usr/local/share/trivy/templates/html.tpl" -o report.html golang:1.12-alpine

* в данном примере мы просканируем docker-образ golang:1.12-alpine и после утилита сохранит отчет в файл report.html. В качестве шаблона для отчета мы возьмем файл /usr/local/share/trivy/templates/html.tpl.

5. Утилита trivy вернет ошибку, если найдет хоть какую-либо уязвимость. Но мы моем ему указать, какие уровни уязвимостей для нас являются критичными:

trivy fs ./ -s HIGH,CRITICAL

* trivy вернет ошибку только если найдет уязвимости уровня HIGH и CRITICAL.

Сканирование паролей

Trivy по умолчанию выполняет сканирование кода на предмет наличия в нем оставленных паролей. Однако, для этого используются внутренние шаблоны поиска ключевых слов, которые, мягко говоря, подходят для частных случаев.

Для поиска паролей необходимо использовать собственный файл политики. Это файл с названием trivy-secret.yaml, который создается в каталоге, в котором мы находимся, когда запускаем trivy.

Подробнее про работу сканирования секретов написана в официальной документации. Мы рассмотрим пример. Создадим файл с политикой:

vi trivy-secret.yaml

rules:
  - id: rule_passwd
    category: general
    title: Generic Rule
    severity: CRITICAL
    regex: (?i)(?P<key>password|pass|passwd|secret)[ ]*(=|:| ){1}\s*['"]?(?P<secret>.*?)('|"|\s|\\n){1}
    secret-group-name: secret

allow-rules:
  - id: skip-variable-repo-pass
    description: skip variable repo pass
    regex: \$REPO_PASS
  - id: skip-keywords
    description: skip keywords
    regex: (dbpass|false)
  - id: skip-nodejs-nodes
    description: skip nodejs nodes
    path: .*/nodes/.*\.(html|js)$

* где:

  • rules — раздел для описания правил поиска паролей.
    • id — идентификатор правила.
    • category — произвольная категория (для метаданных и отчетов).
    • title — произвольный заголовок для удобства чтения человеком.
    • severity — какой уровень серьезности.
    • regex — регулярное выражение для поиска паролей. Используется синтаксис языка Golang.
    • secret-group-name — обратите внимание, что в регулярном выражении мы используем группу захвата secret. Это означает, что в нашем случае парольная часть соответствует тому, что попало в регулярное выражение группы secret.
  • allow-rules — правила исключения, которые позволяют исключить некоторые пароли, которые соответствуют данным правилам.
    • regex — регулярные выражения. Применяются по найденному secret. Если найдется соответствие, то данный пароль не будет учитываться trivy.
    • path — путь до файлов, которые не будут проверяться. Можно указывать путь в виде regex.

Для поиска паролей, можно запускать команду: 

trivy fs ./ -s CRITICAL

# DevOps # Linux # Безопасность
Дмитрий Моск — частный мастер
Была ли полезна вам эта инструкция?

Да            Нет