🌐 Read in:🇺🇸EN🇪🇸ES🇨🇳ZH🇮🇳HI🇸🇦AR🇻🇳VI
Go4 min read

कंटेनर स्कैनिंग से आगे: क्यों Aqua Security का Trivy है बेहतरीन DevSecOps टूल

Aqua Security के अग्रणी ओपन-सोर्स सुरक्षा स्कैनर Trivy के बारे में जानें। समझें कि कैसे यह सिंगल गो (Go) बाइनरी के जरिए कंटेनर, IaC, कूबरनेटीज (Kubernetes), सीक्रेट्स और SBOM स्कैनिंग को एक साथ जोड़ता है।

अवलोकन / परिचय

तेजी से बढ़ते क्लाउड-नेविटिव डिप्लॉयमेंट के इस दौर में सुरक्षा को अब कोडिंग के बाद का विचार नहीं माना जा सकता। "Shift-Left" सुरक्षा आंदोलन की मांग है कि डेवलपर्स उत्पादन (production) में कोड भेजने से पहले ही कमजोरियों, गलत विन्यास (misconfigurations), और लीक हुए सीक्रेट्स को स्कैन करें। हालांकि, कंटेनर सुरक्षा, इन्फ्रास्ट्रक्चर एज कोड (IaC) लिंटिंग, सीक्रेट डिटेक्शन और सॉफ्टवेयर बिल ऑफ मैटेरियल्स (SBOM) जेनरेशन के लिए अलग-अलग टूल्स का उपयोग करने से पाइपलाइनें जटिल हो जाती हैं।

यहीं काम आता है Trivy (Aqua Security द्वारा निर्मित)। Go भाषा में लिखा गया Trivy, सबसे बेहतरीन ओपन-सोर्स सुरक्षा स्कैनर बनकर उभरा है। यह कई स्कैनिंग टूल्स के काम को एक तेज़ और भरोसेमंद CLI टूल में समेट देता है। Trivy इसलिए ट्रेंड कर रहा है क्योंकि यह आधुनिक DevSecOps की जटिलताओं को बेहद सरल, ज़ीरो-कॉन्फ़िगरेशन सेटअप, विशाल डेटाबेस और CI/CD टूल्स के साथ आसान एकीकरण के साथ हल करता है।

मुख्य विशेषताएं

  • मल्टी-टारगेट स्कैनिंग (ऑल-इन-वन): Trivy न केवल कंटेनर इमेज स्कैन करता है, बल्कि लोकल फाइल सिस्टम, गिट रिपॉजिटरी, वर्चुअल मशीन इमेज, कूबरनेटीज (Kubernetes) क्लस्टर और क्लाउड इंफ्रास्ट्रक्चर (जैसे AWS) को भी स्कैन कर सकता है।
  • व्यापक संवेदनशीलता का पता लगाना: यह ऑपरेटिंग सिस्टम पैकेज (Alpine, Ubuntu, RedHat, आदि) और एप्लीकेशन-लेवल डिपेंडेंसी मैनेजर (npm, pip, Go modules, Cargo, Maven, आदि) दोनों में कमजोरियों (CVEs) का पता लगाता है।
  • IaC गलत विन्यास विश्लेषण: Terraform, CloudFormation, Dockerfile, Kubernetes मैनिफ़ेस्ट और Helm चार्ट्स को स्कैन करने के लिए इसमें डिफ़ॉल्ट रूप से सपोर्ट उपलब्ध है।
  • सीक्रेट और संवेदनशील जानकारी की जांच: कोड इतिहास को स्कैन करके लीक हुए API की (keys), टोकन, प्राइवेट की और सर्टिफिकेट्स को पकड़ता है।
  • सर्वश्रेष्ठ SBOM सपोर्ट: उद्योग-मानक प्रारूपों जैसे CycloneDX और SPDX में आसानी से सॉफ्टवेयर बिल ऑफ मैटेरियल्स (SBOM) जनरेट करता है।
  • सुपरफ़ास्ट और हल्का: Go में निर्मित होने के कारण, यह बिना किसी बाहरी बाधा के एकल बाइनरी के रूप में कार्य करता है और डेटाबेस को स्मार्ट तरीके से कैश करता है।

शुरुआत कैसे करें / कोड उदाहरण

Trivy को लिनक्स, मैकओएस और विंडोज पर पैकेज मैनेजरों के माध्यम से आसानी से इंस्टॉल किया जा सकता है।

इंस्टॉलेशन

macOS पर (Homebrew का उपयोग करके):

brew install aquasecurity/trivy/trivy

Debian/Ubuntu पर:

sudo apt-get install wget apt-transport-https gnupg lsb-release
wget -qO - https://aquasecurity.github.io/trivy-repo/deb/public.key | gpg --dearmor | sudo tee /usr/share/keyrings/trivy.gpg > /dev/null
echo "deb [signed-by=/usr/share/keyrings/trivy.gpg] https://aquasecurity.github.io/trivy-repo/deb $(lsb_release -sc) main" | sudo tee /etc/apt/sources.list.d/trivy.list
sudo apt-get update
sudo apt-get install trivy

व्यावहारिक उपयोग के उदाहरण

1. कमजोरियों के लिए कंटेनर इमेज को स्कैन करना
trivy image --severity HIGH,CRITICAL node:18-alpine
2. सीक्रेट्स और गलत कॉन्फ़िगरेशन के लिए लोकल डायरेक्टरी स्कैन करना
trivy fs --scanners vuln,misconfig,secret ./my-app-directory
3. किसी इमेज से CycloneDX SBOM जनरेट करना
trivy image --format cyclonedx --output sbom.json alpine:latest
4. GitHub Actions पाइपलाइन में Trivy को एकीकृत करना
name: security-scan
on: [push]
jobs:
  build:
    runs-on: ubuntu-latest
    steps:
      - name: Checkout code
        uses: actions/checkout@v3

      - name: Run Trivy vulnerability scanner
        uses: aquasecurity/trivy-action@master
        with:
          image-ref: 'docker.io/my-organization/my-app:${{ github.sha }}'
          format: 'table'
          exit-code: '1'
          ignore-unfixed: true
          severity: 'CRITICAL,HIGH'

उपयोग के मामले और लक्षित दर्शक

  • DevSecOps इंजीनियर्स: Jenkins, GitHub Actions, या GitLab CI जैसी पाइपलाइनों के भीतर सुरक्षा मानकों को स्वचालित करने के लिए।
  • कंटेनर और क्लाउड आर्किटेक्ट्स: कूबरनेटीज मैनिफेस्ट और क्लाउड कॉन्फ़िगरेशन की डिप्लॉयमेंट से पहले सुरक्षा ऑडिटिंग करने के लिए।
  • सॉफ्टवेयर डेवलपर्स: मुख्य शाखा (main branch) में कोड भेजने से पहले डिपेंडेंसी जोखिमों को दूर करने के लिए स्थानीय स्तर पर स्कैन करने के लिए।
  • सुरक्षा अनुपालन अधिकारी: सुरक्षा मानकों और नियमों का पालन सुनिश्चित करने के लिए आसानी से विश्वसनीय SBOM रिपोर्ट जनरेट करने के लिए।

यह क्यों महत्वपूर्ण है

Trivy ने ओपन-सोर्स सुरक्षा टूलिंग के स्तर को काफी ऊपर उठा दिया है। कई अलग-अलग स्कैनर को बनाए रखने के बजाय, टीमें कंटेनर, कोड, कॉन्फ़िगरेशन और सुरक्षा से जुड़ी अन्य कमियों को एक ही जगह ठीक करने के लिए Trivy का उपयोग कर सकती हैं। त्वरित परिणामों और बहुमुखी रिपोर्टिंग प्रारूपों (JSON, SARIF, Table) के माध्यम से Trivy सुरक्षा को विकास चक्र का एक सहज हिस्सा बनाता है।

GT

GitTrending संपादकीय टीम द्वारा क्यूरेट किया गया

यह तकनीकी समीक्षा aquasecurity/trivy के स्रोत कोड और दस्तावेज़ीकरण का विश्लेषण करके हमारे विशेष एआई डेवलपर एजेंट द्वारा तैयार की गई थी, और बाद में सटीकता और उच्च गुणवत्ता सुनिश्चित करने के लिए मानव विशेषज्ञों द्वारा समीक्षा की गई थी। हमारा मिशन आपको उभरते ओपन-सोर्स टूल में सबसे विश्वसनीय अंतर्दृष्टि प्रदान करना है।

अक्सर पूछे जाने वाले प्रश्न

aquasecurity/trivy क्या है और यह क्या करता है?

कंटेनर स्कैनिंग से आगे: क्यों Aqua Security का Trivy है बेहतरीन DevSecOps टूल Go में लिखा गया एक ट्रेंडिंग ओपन-सोर्स प्रोजेक्ट है। Aqua Security के अग्रणी ओपन-सोर्स सुरक्षा स्कैनर Trivy के बारे में जानें। समझें कि कैसे यह सिंगल गो (Go) बाइनरी के जरिए कंटेनर, IaC, कूबरनेटीज (Kubernetes), सीक्रेट्स और SBOM स्कैनिंग को एक साथ जोड़ता है।

मैं trivy का आधिकारिक स्रोत कोड कहाँ पा सकता हूँ?

आधिकारिक स्रोत कोड, इश्यू ट्रैकर और दस्तावेज़ GitHub पर https://github.com/aquasecurity/trivy पर एक्सेस किए जा सकते हैं।

मैं aquasecurity/trivy में कैसे योगदान दे सकता हूँ?

आप इसके आधिकारिक GitHub रिपॉजिटरी पर सीधे बग रिपोर्ट करके, नई सुविधाओं का सुझाव देकर, दस्तावेज़ों में सुधार करके, या पुल अनुरोध सबमिट करके योगदान दे सकते हैं।