trivy <команда> [--scanners <сканер1,сканер2>] <цель>
Таблица 12.9. Команды сканирования
|
Команда
|
Краткая форма
|
Назначение
|
|---|---|---|
image
|
i
|
Сканирование OCI/Docker-образа контейнера
|
filesystem
|
fs
|
Сканирование локальной файловой системы
|
config
|
-
|
Анализ файлов конфигурации (IaC: Terraform, CloudFormation, Dockerfile и др.)
|
repository
|
repo
|
Сканирование удалённого git-репозитория
|
rootfs
|
-
|
Сканирование корневой файловой системы (например, распакованного образа)
|
sbom
|
-
|
Анализ SBOM (Software Bill of Materials) — состава пакетов и зависимостей
|
kubernetes
|
k8s
|
Сканирование манифестов Kubernetes или работающего кластера
|
vm
|
-
|
Сканирование образов виртуальной машины (QCOW2, VMDK и др.)
|
aws
|
-
|
Аудит безопасности учётной записи AWS
|
Таблица 12.10. Команды управления и утилиты
|
Команда
|
Назначение
|
|---|---|
module
|
Управление модулями Trivy
|
plugin
|
Установка и управление плагинами
|
vex
|
Работа с VEX-документами (Vulnerability Exploitability eXchange)
|
completion
|
Генерация скрипта автодополнения для указанной оболочки (bash/zsh/fish)
|
server
|
Запуск Trivy в режиме сервера (для многопользовательского использования)
|
clean
|
Очистка кеша (базы уязвимостей и метаданных)
|
convert
|
Преобразование отчёта Trivy из JSON в другие форматы (SARIF, CycloneDX и др.)
|
registry
|
Управление аутентификацией в приватных реестрах (Docker Hub, ECR, GCR и др.)
|
version
|
Вывод версии
|
Таблица 12.11. Доступные сканеры (указываются через --scanners)
|
Сканер
|
Описание
|
По умолчанию
|
|---|---|---|
|
vuln
|
Поиск известных уязвимостей (CVE, GHSA и др.)
|
Да
|
|
secret
|
Обнаружение секретов (ключи, токены, пароли)
|
Да
|
|
config
|
Проверка IaC и конфигураций на ошибки безопасности
|
Нет
|
|
license
|
Анализ лицензий
|
Нет
|
$ trivy <команда> --help