Grype:容器镜像漏洞扫描,一条命令搞定
文章目录
- Grype:容器镜像漏洞扫描,一条命令搞定
- 这东西能扫什么
- 用法有多简单
- 凭什么它有优先级
- 适合谁用
Grype:容器镜像漏洞扫描,一条命令搞定
做容器开发的同学应该都有体会:镜像拉下来跑得挺欢,但里面有没有漏?安的依赖有没有已知 CVE?一个个查太累,不查又心里没底。
Anchore 开源的 Grype 就是解决这个问题的。目前 GitHub 上 12,509 个 Star,属于容器安全领域的标配工具之一。
这东西能扫什么
Grype 的核心能力就两句话:扫镜像、扫目录,告诉你里面有没有已知漏洞。
支持的扫描对象挺全的:
- 容器镜像(Docker、OCI 格式都行)
- 本地文件系统
- SBOM(软件物料清单)
操作系统层面,Alpine、Debian、Ubuntu、RHEL、Amazon Linux 这些主流发行版都支持。编程语言层面更广,Java、Python、Go、Rust、PHP、JavaScript、.NET 全囊括了。
用法有多简单
安装就一行命令:
curl -sSfL https://get.anchore.io/grype | sudo sh -s -- -b /usr/local/bin扫一个镜像:
grype alpine:latest扫一个项目目录:
grype ./my-project如果你已经有 SBOM 文件,也可以直接喂给 Grype 扫,速度更快:
grype sbom:./sbom.json没有复杂配置,装完就能用。
凭什么它有优先级
漏洞扫出来是一回事,怎么排序处理是另一回事。Grype 集成了 EPSS(漏洞利用预测评分系统)和 KEV(已知被利用漏洞目录),结合风险评分帮你判断哪些漏洞最该优先处理。
另外它还支持 OpenVEX 标准,可以过滤和补充扫描结果——也就是说,你可以在扫描结果里标记哪些漏洞已经被缓解了,下次扫的时候不会再报。
适合谁用
如果你自己搭 CI/CD 流程,Grype 可以嵌入 pipeline,每次构建自动扫一遍镜像。如果你在管生产环境的容器,也可以定期扫描运行中的镜像。
工具本身是 Apache-2.0 开源协议,不用考虑授权问题。Anchore 公司还在持续维护,社区也很活跃,定期有线上会议讨论功能走向。
整体来说,Grype 是个实在的工具:装得快、用得简单、结果清晰。容器安全这件事,有一个顺手的好工具,比什么都强。
。
整体来说,Grype 是个实在的工具:装得快、用得简单、结果清晰。容器安全这件事,有一个顺手的好工具,比什么都强。
