mchmarny/vimp

# vimp [](https://github.com/mchmarny/vimp/actions/workflows/on-push.yaml) [](https://github.com/mchmarny/vimp/actions/workflows/on-tag.yaml) [](https://goreportcard.com/report/github.com/mchmarny/vimp) [](LICENSE) 将多个容器镜像扫描器的漏洞数据标准化为统一格式，以便进行跨扫描器比较和趋势分析。 ## 为什么选择 vimp？ 不同的漏洞扫描器通常会对同一个容器镜像报告不同的结果。vimp 可以帮助您： - **比较结果**：跨扫描器比较结果以识别覆盖范围上的差异 - **跟踪趋势**：通过持久化存储跟踪随时间变化的趋势 - **集成 CI/CD**：使用 `SARIF` 输出集成到 GitHub Code Scanning - **减少噪音**：通过关联多个来源的发现来减少噪音  ## 快速开始 ``` # 安装 vimp brew tap mchmarny/vimp && brew install vimp # 扫描镜像（需要安装 grype、trivy 或 snyk） vimp scan --image alpine:latest --yes # 查询结果 vimp query --image docker.io/library/alpine # 运行服务器（查看报告、CVEs 趋势） vimp server --open ```  ## 文档 - **[用户指南](docs/user-guide.md)** - 包含可运行示例的分步工作流教程 - **[CLI 参考](docs/cli-reference.md)** - 完整的命令文档 ## 支持的扫描器 | 扫描器 | 格式检测 | CVSS 支持 | |---------|------------------|--------------| | [Grype](https://github.com/anchore/grype) | `descriptor.name == "grype"` | 完整 | | [Trivy](https://github.com/aquasecurity/trivy) | `SchemaVersion` + `Results` | 完整 | | [Snyk](https://github.com/snyk/cli) | `vulnerabilities` + `applications` | 完整 | | [Clair](https://github.com/quay/clair) | `manifest_hash` + `vulnerabilities` | 无 | | [OSV-Scanner](https://github.com/google/osv-scanner) | `results[*].packages[*].ecosystem` | 部分 | | [Anchore Engine](https://github.com/anchore/anchore-engine) | `imageDigest` + `vulnerabilities` | 完整 | ## 存储后端 | 后端 | URI 格式 | 查询支持 | |------------|--------------------------------|---------------| | SQLite | `sqlite://path/to/db.db` | 是 | | PostgreSQL | `postgres://host:port/db` | 是 | | BigQuery | `bq://project.dataset.table` | 仅导入 | | File | `file://path/to/output.json` | 否 | | Console | `console://` | 否 | 默认：`sqlite://~/.vimp.db` ## 安装 ### Homebrew (macOS/Linux) ``` brew tap mchmarny/vimp brew install vimp ``` ### Go ``` go install github.com/mchmarny/vimp@latest ``` ### 二进制文件 从 [releases](https://github.com/mchmarny/vimp/releases/latest) 下载。所有发布版本包含： - SHA256 校验和 - SPDX SBOMs - 构建来源证明 ### Linux 软件包 **Debian/Ubuntu:** ``` VERSION=$(curl -s https://api.github.com/repos/mchmarny/vimp/releases/latest | jq -r .tag_name) wget https://github.com/mchmarny/vimp/releases/download/${VERSION}/vimp-${VERSION#v}_linux-amd64.deb sudo dpkg -i vimp-${VERSION#v}_linux-amd64.deb ``` **RHEL/CentOS:** ``` VERSION=$(curl -s https://api.github.com/repos/mchmarny/vimp/releases/latest | jq -r .tag_name) sudo rpm -ivh https://github.com/mchmarny/vimp/releases/download/${VERSION}/vimp-${VERSION#v}_linux-amd64.rpm ``` ## 许可证 [Apache 2.0](LICENSE) ## 免责声明 这是一个个人项目，不代表我的雇主。虽然我会尽力确保一切正常，但我对由这段代码引起的任何问题不承担任何责任。

标签：Angular, CVE分析, DevSecOps, EVTX分析, EVTX分析, FTP漏洞扫描, GitHub代码扫描, Go语言, GPT, Grype, SARIF, Snyk, Web截图, 上游代理, 安全合规, 安全编排, 安全趋势分析, 容器安全, 差异分析, 文档安全, 日志审计, 活动识别, 测试用例, 漏洞管理, 漏洞聚合, 程序破解, 网络代理, 镜像扫描