Trivy:一站式容器安全扫描利器
为什么值得看
Trivy 是 Aqua Security 开源的 Go 语言安全扫描器,覆盖容器镜像、K8s、虚拟机镜像等 5 类目标,能同时检测 CVE 漏洞、IaC 配置错误和敏感信息泄露。对 AI 工程师而言,部署模型服务前的镜像安全审计从此可以一条命令搞定,不用再拼凑多个工具。
Find vulnerabilities, misconfigurations, secrets, SBOM in containers, Kubernetes, code repositories, clouds and more
媒体预览
编辑判断
容器安全扫描这个赛道之前是 Snyk、Anchore Grype 和 Clair 三足鼎立,但 Grype 不支持 IaC 扫描,Clair 只聚焦镜像层,Snyk 免费额度有限。Trivy 的差异化在于把 SBOM 生成、漏洞扫描、密钥检测、K8s 资源配置检查全部塞进一个二进制文件,CI 流水线里加一行就行,冷启动速度比 Clair 快一个数量级。
做 MLOps 平台的团队尤其该试:模型镜像往往 layers 多、基础镜像杂,Trivy 的 fanal 库能并行解压分析,扫描 2GB 的 CUDA 镜像通常在 30 秒内完成。如果你们的模型服务还没过安全合规审计,建议把 trivy image --severity HIGH,CRITICAL 写进发布流水线 gate。
Star History
生态分析
Production
云原生安全扫描事实标准,一体化覆盖容器、K8s、IaC、代码与云资产
独特价值:单一工具实现漏洞、配置、密钥、SBOM 全栈检测,降低工具链复杂度
竞品: