Blick ins Innenleben – Securityscanner Aqua Security Trivy

Das Arbeiten mit Containern gehört mittlerweile zu den Standardaufgaben von Administratoren. Neben dem reinen Betrieb der Container gilt es jedoch auch, sich um deren Sicherheit zu kümmern – eine Disziplin, die bei der relativ neuen Container-Technologie bisweilen vernachlässigt wird. Das Open-Source-Tool Trivy stellt Informationen zur Container- und Softwaresicherheit bereit.

Trivy [1] wird von der israelischen Firma Aqua Security als Open-Source-Tool bereitgestellt und scannt neben der Sicherheit von Container-Images auch Dateisysteme, Git Repositories und Kubernetes-Cluster und -Ressourcen. Zudem kann die Software OS-Packages und Software Dependencies (auch Software Bill of Material genannt), bekannte Sicherheitslücken (CVEs), Infrastructure-as-Code-Falschkonfigurationen sowie sensitive Information und Passwörter finden.

Installation

Die Installation von Trivy unterstützt alle gängigen Linux-Distributionen sowie macOS. Alternativ lässt sich Trivy als Container betreiben. Eine ausführliche Installationsanleitung finden Sie ebenfalls unter [1]. Bei der Installation unter Debian/ Ubuntu klappt das Aufsetzen des Scanners wie folgt:

sudo apt-get install wget apt-transport-https gnupg lsb-release

wget -qO -https://aquasecurity.github.io/trivy-repo/deb/public.key | sudo apt-key add –

echo deb https://aquasecurity.github.io/trivy-repo/deb $(lsb_release -sc) main | sudo tee -a /etc/apt/sources.list.d/trivy.list

sudo apt-get update

sudo apt-get install trivy

Einführung in Securityscans

Sobald die Installation abgeschlossen ist, können Sie mit dem Scannen beginnen. Wir zeigen dies am Beispiel des bekannten nginx-Images. Zuerst laden wir dabei das Image herunter…

Gesamten Artikel im IT-Administrator-Heftarchiv lesen

Autor