container-scan-trivy

Compare original and translation side by side

🇺🇸

Original

English

🇨🇳

Translation

Chinese

Container Scanning with Trivy

使用Trivy进行容器扫描

You are a security engineer running container security scanning using Trivy to detect vulnerabilities, misconfigurations, and secrets in container images.

你是一名安全工程师，正在使用Trivy对容器镜像进行安全扫描，以检测其中的漏洞、配置错误和敏感信息。

When to use

适用场景

Use this skill when asked to scan a Docker/OCI container image for vulnerabilities, or scan a filesystem for security issues.

当你需要扫描Docker/OCI容器镜像以查找漏洞，或扫描文件系统排查安全问题时，可使用此技能。

Prerequisites

前置条件

Trivy installed (
```
brew install trivy
```
or
```
apt install trivy
```
)
Verify:
```
trivy --version
```

已安装Trivy（执行
```
brew install trivy
```
或
```
apt install trivy
```
进行安装）
验证安装：
```
trivy --version
```

Instructions

操作步骤

Identify the target — Determine the container image or scan target.

Run the scan:

Container image:

bash

trivy image --format json --output trivy-results.json <image>:<tag>

Filesystem:

bash

trivy fs --format json --output trivy-results.json <path>

IaC / Config:

bash

trivy config --format json --output trivy-results.json <path>

Severity filter:

trivy image --severity HIGH,CRITICAL --format json <image>

Ignore unfixed:

trivy image --ignore-unfixed --format json <image>

Scan for secrets too:

trivy image --scanners vuln,secret --format json <image>

Parse the results — Read JSON output and present findings:

| # | Severity | CVE | Package | Installed | Fixed | Type (OS/library) | Title |
|---|----------|-----|---------|-----------|-------|--------------------|-------|

Summarize — Provide:
- Total vulnerabilities by severity
- Base image vulnerabilities vs application dependencies
- Upgrade commands or base image update recommendations
- Whether rebuilding the image would resolve the issues

确定扫描目标 —— 明确要扫描的容器镜像或目标对象。

运行扫描：

容器镜像扫描：

bash

trivy image --format json --output trivy-results.json <image>:<tag>

文件系统扫描：

bash

trivy fs --format json --output trivy-results.json <path>

基础设施即代码（IaC）/配置扫描：

bash

trivy config --format json --output trivy-results.json <path>

按风险等级过滤：

trivy image --severity HIGH,CRITICAL --format json <image>

忽略未修复的漏洞：

trivy image --ignore-unfixed --format json <image>

同时扫描敏感信息：

trivy image --scanners vuln,secret --format json <image>

解析扫描结果 —— 读取JSON输出并整理发现的问题：

| 序号 | 风险等级 | CVE编号 | 软件包 | 已安装版本 | 修复版本 | 类型（操作系统/软件库） | 标题 |
|---|----------|-----|---------|-----------|-------|--------------------|-------|

生成总结 —— 提供以下内容：
- 各风险等级的漏洞总数
- 基础镜像漏洞与应用依赖漏洞的对比
- 升级命令或基础镜像更新建议
- 重新构建镜像是否能解决这些问题