aquasecurity/trivy

GitHub: aquasecurity/trivy

一个全面的安全扫描器，用于检测容器、Kubernetes、代码库及云环境中的漏洞、配置错误和敏感信息。

Stars: 280 | Forks: 18

[![GitHub Release](https://img.shields.io/github/release/aquasecurity/trivy.svg?logo=github)][release] [![Test](https://static.pigsec.cn/wp-content/uploads/repos/2026/02/ddefe7b95a140531.svg)][test] [![Go Report Card](https://goreportcard.com/badge/github.com/aquasecurity/trivy)][go-report] [![License: Apache-2.0](https://img.shields.io/badge/License-Apache%202.0-blue.svg)][license] [![GitHub Downloads](https://img.shields.io/github/downloads/aquasecurity/trivy/total?logo=github)][release] ![Docker Pulls](https://img.shields.io/docker/pulls/aquasec/trivy?logo=docker&label=docker%20pulls%20%2F%20trivy) [📖 文档][docs]

Trivy（[发音][pronunciation]）是一个全面且通用的安全扫描器。 Trivy 拥有用于查找安全问题的*扫描器*，以及可以发现这些问题的*目标*。目标（Trivy 可以扫描的内容）： - 容器镜像 - 文件系统 - Git 仓库（远程） - 虚拟机镜像 - Kubernetes 扫描器（Trivy 可以发现的内容）： - 正在使用的操作系统包和软件依赖（SBOM） - 已知漏洞 - IaC 问题和配置错误 - 敏感信息和秘密 - 软件许可证 Trivy 支持大多数流行的编程语言、操作系统和平台。完整列表请参见 [扫描覆盖范围] 页面。欲了解更多信息，请访问 [Trivy 主页][homepage] 查看功能亮点，或访问 [文档站点][docs] 获取详细信息。 ## 快速开始 ### 获取 Trivy Trivy 可在大多数常见的分发渠道中使用。完整的安装选项列表可在 [安装] 页面找到。以下是一些流行的示例： - `brew install trivy` - `docker run aquasec/trivy` - 从下载二进制文件 - 查看 [安装] 了解更多 Trivy 已集成到许多流行的平台和应用程序中。完整的集成列表可在 [生态系统] 页面找到。以下是一些流行的示例： - [GitHub Actions](https://github.com/aquasecurity/trivy-action) - [Kubernetes operator](https://github.com/aquasecurity/trivy-operator) - [VS Code plugin](https://github.com/aquasecurity/trivy-vscode-extension) - 查看 [生态系统] 了解更多 ### 金丝雀构建每次推送到主分支时都会生成金丝雀构建（[Docker Hub](https://hub.docker.com/r/aquasec/trivy/tags?page=1&name=canary)、[GitHub](https://github.com/aquasecurity/trivy/pkgs/container/trivy/75776514?tag=canary)、[ECR](https://gallery.ecr.aws/aquasecurity/trivy#canary) 镜像和 [binaries](https://github.com/aquasecurity/trivy/actions/workflows/canary.yaml)）。请注意：金丝雀构建可能存在严重错误，因此不建议在生产环境中使用。 ### 常规用法 ``` trivy [--scanners ] ``` 示例： ``` trivy image python:3.4-alpine ```

结果

https://user-images.githubusercontent.com/1161307/171013513-95f18734-233d-45d3-aaf5-d6aec687db0e.mov

``` trivy fs --scanners vuln,secret,misconfig myproject/ ```

结果

https://user-images.githubusercontent.com/1161307/171013917-b1f37810-f434-465c-b01a-22de036bd9b3.mov

``` trivy k8s --report summary cluster ```

结果

![k8s summary](https://static.pigsec.cn/wp-content/uploads/repos/2026/02/8685cfad69140532.png)

## 常见问题 ### 如何发音 "Trivy"？ `tri` 的发音像 **tri**gger，`vy` 的发音像 en**vy**。

标签：CI/CD 集成, CVE, DevSecOps, EVTX分析, EVTX分析, EVTX分析, EVTX分析, Go, GraphQL安全矩阵, IaC 扫描, Java RMI, Kubernetes 安全, LLM防护, Python库, Ruby工具, Rust语言, SBOM, StruQ, Web截图, Windows工具, 上游代理, 云安全, 云安全监控, 代码审计, 供应链安全, 合规性检查, 子域名突变, 安全扫描器, 容器安全, 密钥检测, 带宽管理, 开源安全工具, 提示注入检测, 数字签名, 文档安全, 日志审计, 模型鲁棒性, 活动识别, 漏洞检测, 硬件无关, 请求拦截, 跌倒检测, 软件物料清单, 逆向工程平台, 配置审计, 镜像扫描, 静态分析