Модуль сканирования образов контейнеров (Trivy)

В этом разделе можно настроить сканер уязвимостей Trivy.

Trivy - это инструмент сканирования уязвимостей для контейнерных образов и файловой системы, используемый при разработке и эксплуатации приложений на платформе Docker. Он служит для обнаружения уязвимостей в зависимостях и пакетах, используемых в контейнерах.

Trivy обеспечивает своевременное обнаружение и предотвращение возможных уязвимостей, а также предлагает автоматизированный процесс сканирования и отчетности, что облегчает процесс изучения и минимизации уязвимостей при использовании контейнерной технологии. Подробнее на странице Анализ образов.

Для настройки запуска сканера образов перейдите в раздел Кластеры/Кластер/Установленные сервисы. Найдите “Модуль сканирования образов контейнеров”. Убедитесь, что он включен. В блоке “Спецификация сервиса” задайте желаемый интервал для перезапуска проверки образов. Для этого используйте параметр:

  customvalues: |
    operator:
      scanJobTTL: "30m"
      scannerReportTTL: "1h"

24 часа - это значение по умолчанию. Пропишите вместо него желаемый интервал, например, “30m”. Нажмите “Сохранить” для применения спецификации.

Для настройки сканирования образов из локального репозитория, в случае использования SSL сертификата, выпущенного непубличным УЦ например, корпоративным или самоподписным, необходимо указать следующие параметры:

  customvalues: |
    trivy:
      insecureRegistries:
        nameOfRegistry: registry.corp.domain

Пример конфигурации для кластера, установленного из зеркала в закрытом контуре:

  customvalues: |
    operator:
      scanJobTTL: "30m"
      scannerReportTTL: "1h"
    trivy:
      dbRepository: stm-mirror.corp.domain:443/trivy-db
      dbRepositoryInsecure: true
      insecureRegistries:
        mainShturvalRegistry: r.shturval.tech
        mirrorShturvalRegistry: stm-mirror.corp.domain:443
        mirrorShturvalNexus: nexus.corp.domain
      registry:
        mirror:
          r.shturval.tech: stm-mirror.corp.domain:443

С дополнительной информацией можно ознакомиться на сайте Trivy и сайте Trivy Operator . В текущем релизе используется Trivy версии 0.51.1 и Trivy Operator версии 0.18.5