Сканеры уязвимости: trivy trivy - простой, но хороший сканер | Mikrotik Ninja
Сканеры уязвимости:
trivy
trivy - простой, но хороший сканер уязвимостей. Находит уязвимые версии софта в зависимостях, секреты, мисконфиги.
Из удобств: можно использовать как standalone сканирование, например проверить репозиторий целиком, так и интегрировать в CI/CD (Jenkins, GitLab CI, GitHub Actions). Есть плагин для VSCode.
Репозиторий
Плагин для VSCode
docker-bench-security
Набор bash скриптов для проверки безопасности конфигурации образов и контейнеров. docker-bench-security больше рассчитан на интеграцию, standalone сканирование в целом есть, но не без страданий в работе.
Могут быть проблемы с интерпритацией вывода, так как используется CIS Benchmark.
Репозиторий
dockle
И линтер, и сканер.
Ищет CVE в ПО образа, проверяет корректность и безопасность конкретного образа, анализируя его слои и конфигурацию.
И вообще это лучший инструмент (по словам авторов).
Работает как отдельно, так и интегрируется с GitLab CI, Jenkins.
Репозиторий