Trivy 容器镜像漏洞扫描工具：离线部署与集成指南

Trivy 是 Aqua Security 开源的全能漏洞扫描工具，支持容器镜像、文件系统、Git 仓库及 IaC 文件（Terraform、Dockerfile、Kubernetes）的安全检测。本文提供 Trivy 的完整集成方案，重点解决国内网络环境下漏洞库下载缓慢的问题。

核心内容包括：

工具概述：Trivy 基于 Golang 开发，支持操作系统包（Alpine、RHEL、CentOS）和编程语言包（Bundler、npm、yarn）的漏洞检测
可选参数详解：
- --cache-dir：指定漏洞数据库缓存目录
- --skip-db-update / --skip-java-db-update：跳过自动更新，避免 GitHub 下载超时
- --severity：按严重程度过滤（CRITICAL、HIGH、MEDIUM、LOW）
- --vuln-type：选择扫描类型（os 系统包 / library 应用库）
- -f json -o：导出 JSON 格式报告
- --ignore-unfixed：仅关注已有修复方案的漏洞
离线库配置：
- 使用 ORAS 工具从国内镜像（ghcr.nju.edu.cn）拉取 trivy-db:2 和 trivy-java-db:1
- 解压到指定目录，配置 --cache-dir 指向离线库路径

使用示例：

bash
trivy --cache-dir /path/to/trivy-db \
      --skip-db-update --skip-java-db-update \
      --severity HIGH -f table \
      image registry.cn-shanghai.aliyuncs.com/odboy/runtime:dragonwell-jdk11

官方网站

集成脚本（mac版）

其他平台的集成方法。依葫芦画瓢

bash
cd ~
mkdir envs
cd envs

# 安装trivy
curl -o trivy_0.58.0_macOS-ARM64.tar.gz https://ghfast.top/https://github.com/aquasecurity/trivy/releases/download/v0.58.0/trivy_0.58.0_macOS-ARM64.tar.gz
tar -xzvf trivy_0.58.0_macOS-ARM64.tar.gz
chmod +x trivy_0.58.0_macOS-ARM64/trivy
ln -s /usr/bin/trivy ~/envs/trivy_0.58.0_macOS-ARM64/trivy

# 安装oras
curl -o oras_1.2.1_darwin_arm64.tar.gz https://ghfast.top/https://github.com/oras-project/oras/releases/download/v1.2.1/oras_1.2.1_darwin_arm64.tar.gz
tar -xzvf oras_1.2.1_darwin_arm64.tar.gz
mv oras_1.2.1_darwin_arm64/oras ./
rm -rf oras_1.2.1_darwin_arm64
chmod +x oras

# 配置trivy离线库
./oras pull ghcr.nju.edu.cn/aquasecurity/trivy-db:2
./oras pull ghcr.nju.edu.cn/aquasecurity/trivy-java-db:1
mkdir -p /Users/tianjun/trivy-db/{db,java-db}
cp db.tar.gz javadb.tar.gz /Users/tianjun/trivy-db
cd /Users/tianjun/trivy-db
tar -xzvf db.tar.gz -C db
tar -xzvf javadb.tar.gz -C java-db
rm -rf db.tar.gz javadb.tar.gz

如何使用（这是一个例子）

bash
trivy --cache-dir /Users/tianjun/trivy-db --skip-db-update --skip-java-db-update --severity HIGH -f table image registry.cn-shanghai.aliyuncs.com/odboy/runtime:dragonwell-jdk11

目录

官方网站

集成脚本（mac版）

如何使用（这是一个例子）

最终效果