← Ко всем open source проектам

Trivy

aquasecurity/trivy

Trivy — сканер уязвимостей, секретов и misconfiguration для контейнеров, Kubernetes и кода.

GitHub · 36,627 звёзд Сайт проекта
Форки 499
Автор aquasecurity
Язык Go
Лицензия Apache-2.0
Обновлено 2026-06-27

Что это такое

Trivy — универсальный сканер безопасности для контейнеров и инфраструктурного кода. Проект стал заметен потому, что безопасность контейнеров стала повседневной задачей разработки, а не отдельным редким аудитом.

В образе или конфигурации могут скрываться уязвимые пакеты, секреты, слабые настройки и ошибки, которые трудно увидеть вручную. Поэтому проект полезно рассматривать не как абстрактный репозиторий, а как готовый ответ на конкретную рабочую задачу.

Коротко: Trivy проверяет образы контейнеров, репозитории, конфигурации, Kubernetes-ресурсы, SBOM и секреты, помогая находить риски до выпуска. Если задача совпадает с этим контуром, проект может дать быстрый старт без написания базовой инфраструктуры с нуля.

Что внутри репозитория

В репозитории находятся Go-код сканера, базы правил, проверка пакетов, Kubernetes-конфигураций, секретов, SBOM, тесты и документация.

Trivy объединяет несколько видов проверок в одной команде, чтобы команда могла встроить безопасность в обычный цикл сборки. Это важно для оценки проекта: видно, какие части уже готовы, где находится основная логика и насколько удобно будет расширять решение.

Основной технический слой связан с Go. Для команды это подсказка о том, какие зависимости, окружение и навыки понадобятся при внедрении или изучении кода.

Как это используют

Его используют в CI, локальных проверках, реестрах контейнерных образов, Kubernetes-кластерах и процессах подготовки релиза.

Начинать лучше с проверки одного образа и репозитория, затем добавить пороги severity и понятные правила исключений.

Хороший первый шаг — взять маленький реальный сценарий и пройти его полностью: установка, минимальная настройка, один результат, проверка качества и запись ограничений. Так быстро становится видно, где Trivy действительно помогает, а где потребуется дополнительная работа.

После первого прогона полезно сразу записать рабочую конфигурацию, входные данные и ожидаемый результат. Это превращает знакомство с Trivy в воспроизводимую проверку, а не в разовое впечатление от демо.

Почему проект заметен

Сильная сторона Trivy — широкий охват проверок при простой командной модели.

Проект заметен потому, что контейнеры и Kubernetes требуют быстрых повторяемых проверок безопасности.

Популярность здесь важна не как отдельная заслуга, а как сигнал, что проблема знакома многим людям. Сильнее всего такие проекты закрепляются тогда, когда дают понятный путь от первой проверки до регулярного использования.

Ограничения

Ограничение в том, что сканер показывает риск, но не заменяет патчинг, threat modeling и владельца исправления.

В команде нужно обновлять базы, фиксировать правила исключений и отслеживать, кто закрывает найденные проблемы.

Даже хороший проект с открытым кодом остается зависимостью. Его нужно обновлять, понимать, документировать свои настройки и заранее знать, как откатиться, если новая версия меняет поведение.

Поэтому страницу такого проекта стоит воспринимать как начало технической проверки: сначала понять назначение, затем повторить маленький пример, после этого уже решать, нужен ли Trivy в постоянной работе.

Пример

Проверка контейнерного образа

Пример показывает базовый запуск Trivy: проверить образ до публикации или развертывания.

Язык: Bash 
trivy image my-app:latest
trivy fs .