Trivy 正在参加 2021 年度 OSC 中国开源项目评选,请投票支持!
Trivy 在 2021 年度 OSC 中国开源项目评选 中已获得 {{ projectVoteCount }} 票,请投票支持!
2021 年度 OSC 中国开源项目评选 正在火热进行中,快来投票支持你喜欢的开源项目!
2021 年度 OSC 中国开源项目评选 >>> 中场回顾
Trivy 获得 2021 年度 OSC 中国开源项目评选「最佳人气项目」 !
授权协议 AGPL
开发语言 Google Go
操作系统 Windows
软件类型 开源软件
所属分类 云计算PaaS系统/容器
开源组织
地区 不详
投 递 者 红薯
适用人群 未知
收录时间 2019-05-19

软件简介

Trivy 是一个简单而且功能完整的容器漏洞扫描工具,特别使用用于持续集成。

准确性比较

在 Alpine Linux 中检测的漏洞 (2019/05/12)

详细的比较请看 Comparison with other scanners 

特性

  • 全面检测漏洞
    • 操作系统 (Alpine, Red Hat Universal Base Image, Red Hat Enterprise Linux, CentOS, Debian and Ubuntu)
    • 应用依赖 (Bundler, Composer, Pipenv, npm, yarn and Cargo)
  • 简单
  • 易于安装
    • No need for prerequirements such as installation of DB, libraries, etc.
    • apt-get install yum install  and  brew install  is possible (See Installation)
  • 准确度高
  • DevSecOps
    • Suitable for CI such as Travis CI, CircleCI, Jenkins, etc.
    • See CI Example

安装

RHEL/CentOS

Add repository setting to  /etc/yum.repos.d .

$ sudo vim /etc/yum.repos.d/trivy.repo
[trivy]
name=Trivy repository
baseurl=https://knqyf263.github.io/trivy-repo/rpm/releases/$releasever/$basearch/
gpgcheck=0
enabled=1
$ sudo yum -y update
$ sudo yum -y install trivy

or

$ rpm -ivh https://github.com/knqyf263/trivy/releases/download/v0.0.13/trivy_0.0.13_Linux-64bit.rpm

Debian/Ubuntu

Replace  [CODE_NAME]  with your code name

CODE_NAME: wheezy, jessie, stretch, buster, trusty, xenial, bionic

$ sudo apt-get install apt-transport-https gnupg
$ wget -qO - https://knqyf263.github.io/trivy-repo/deb/public.key | sudo apt-key add -
$ echo deb https://knqyf263.github.io/trivy-repo/deb [CODE_NAME] main | sudo tee -a /etc/apt/sources.list.d/trivy.list
$ sudo apt-get update
$ sudo apt-get install trivy

or

$ sudo apt-get install rpm
$ wget https://github.com/knqyf263/trivy/releases/download/v0.0.13/trivy_0.0.13_Linux-64bit.deb
$ sudo dpkg -i trivy_0.0.13_Linux-64bit.deb

Mac OS X / Homebrew

You can use homebrew on OS X.

$ brew tap knqyf263/trivy
$ brew install knqyf263/trivy/trivy

二进制 (包括 Windows)

进入 releases 页面,找到相应的把柄,解压并增加可执行权限。

从源码安装

$ go get -u github.com/knqyf263/trivy
展开阅读全文

代码

的 Gitee 指数为
超过 的项目

评论

点击加入讨论🔥(3) 发布并加入讨论🔥
暂无内容
发表了博客
{{o.pubDate | formatDate}}

{{formatAllHtml(o.title)}}

{{parseInt(o.replyCount) | bigNumberTransform}}
{{parseInt(o.viewCount) | bigNumberTransform}}
没有更多内容
暂无内容
发表了问答
{{o.pubDate | formatDate}}

{{formatAllHtml(o.title)}}

{{parseInt(o.replyCount) | bigNumberTransform}}
{{parseInt(o.viewCount) | bigNumberTransform}}
没有更多内容
暂无内容
FasterXML Jackson-databind 反序列化漏洞(dbcp2 gadget绕过)
反序列化
FasterXML jackson-databind是一个基于JAVA可以将XML和JSON等数据格式与JAVA对象进行转换的库。Jackson可以轻松的将Java对象转换成json对象和xml文档,同样也可以将json、xml转换成Java对象。 FasterXML Jackson-databind 2.8.10及之前版本和2.9.x版本至2.9.3版本中存在反序列化漏洞。当启用DefaultTyping功能时,远程攻击者可以通过dbcp2中的org.apache.tomcat.dbcp.dbcp2.BasicDataSource类绕过黑名单限制,执行任意代码。
CVE-2017-17485 MPS-2018-0362
2023-12-20 20:06
FasterXML jackson-databind 反序列化漏洞(Hibernate/iBatis gadget绕过)
反序列化
FasterXML jackson-databind是一个基于JAVA可以将XML和JSON等数据格式与JAVA对象进行转换的库。Jackson可以轻松的将Java对象转换成json对象和xml文档,同样也可以将json、xml转换成Java对象。 FasterXML Jackson-databind 2.8.11及之前版本和2.9.x版本至2.9.3版本中存在反序列化漏洞,当启用DefaultTyping功能时,可以通过Hibernate中包含的org.hibernate.jmx.StatisticsService 类,以及iBatis中的org.apache.ibatis.datasource.jndi.JndiDataSourceFactory类绕过黑名单类限制。
CVE-2018-5968 MPS-2018-0934
2023-12-20 20:06
FasterXML jackson-databind 反序列化漏洞(c3p0 gadget绕过)
反序列化
FasterXML jackson-databind是一个基于JAVA可以将XML和JSON等数据格式与JAVA对象进行转换的库。Jackson可以轻松的将Java对象转换成json对象和xml文档,同样也可以将json、xml转换成Java对象。 FasterXML Jackson-databind 2.8.11.1之前版本和2.9.5之前的2.9.x版本中存在代码问题漏洞。远程攻击者可通过向ObjectMapper的readValue方法发送恶意制作的JSON输入利用该漏洞执行代码。
CVE-2018-7489 MPS-2018-2477
2023-12-20 20:06
FasterXML jackson-databind反序列化漏洞(slf4j-ext gadget绕过)
反序列化
FasterXML Jackson是美国FasterXML公司的一款用于Java的数据处理工具。Jackson-databind是其中的一个具有数据绑定功能的组件。 FasterXML Jackson-databind 2.9.7之前的2.x版本中存在任意代码执行漏洞,该漏洞源于程序接收了多态反序列化的slf4j-ext类,远程攻击者可利用该漏洞执行任意代码。
CVE-2018-14718 MPS-2019-0018
2023-12-20 20:06
FasterXML jackson-databind反序列化漏洞(blaze-ds-opt gadget绕过)
反序列化
FasterXML Jackson是美国FasterXML公司的一款用于Java的数据处理工具。Jackson-databind是其中的一个具有数据绑定功能的组件。 FasterXML Jackson-databind 2.9.7之前的2.x版本中存在任意代码执行漏洞,可以通过blaze-ds-opt、blazeds-core作为gadget绕过限制,远程攻击者可利用该漏洞执行任意代码。
CVE-2018-14719 MPS-2019-0019
2023-12-20 20:06
FasterXML jackson-databind XXE漏洞(DRSHelper gadget绕过)
XXE
FasterXML Jackson是美国FasterXML公司的一款用于Java的数据处理工具。Jackson-databind是其中的一个具有数据绑定功能的组件。 FasterXML Jackson-databind 2.9.7之前的2.x版本中存在XXE漏洞,远程攻击者可利用该漏洞执行XML外部实体注入攻击。
CVE-2018-14720 MPS-2019-0020
2023-12-20 20:06
FasterXML Jackson-databind服务器端请求伪造漏洞(axis2-jaxws gadget绕过)
SSRF
FasterXML Jackson是美国FasterXML公司的一款用于Java的数据处理工具。Jackson-databind是其中的一个具有数据绑定功能的组件。 FasterXML Jackson-databind 2.9.7之前的2.x版本中存在服务器端请求伪造漏洞,远程攻击者可利用该漏洞执行服务器端请求伪造攻击。
CVE-2018-14721 MPS-2019-0021
2023-12-20 20:06
FasterXML Jackson-databind代码问题漏洞(axis2-transport-jms gadget绕过)
反序列化
FasterXML Jackson是美国FasterXML公司的一款用于Java的数据处理工具。Jackson-databind是其中的一个具有数据绑定功能的组件。 FasterXML Jackson-databind 2.9.8之前的2.x版本中存在安全漏洞。攻击者可利用该漏洞执行代码。
CVE-2018-19360 MPS-2019-0023
2023-12-20 20:06
FasterXML Jackson-databind代码问题漏洞(openjpa gadget绕过)
反序列化
FasterXML Jackson是美国FasterXML公司的一款用于Java的数据处理工具。Jackson-databind是其中的一个具有数据绑定功能的组件。 FasterXML Jackson-databind 2.9.8之前的2.x版本中存在安全漏洞。攻击者可利用该漏洞执行代码。
CVE-2018-19361 MPS-2019-0024
2023-12-20 20:06
FasterXML Jackson-databind代码问题漏洞(jboss-common-core gadget绕过)
反序列化
FasterXML Jackson是美国FasterXML公司的一款用于Java的数据处理工具。Jackson-databind是其中的一个具有数据绑定功能的组件。 FasterXML Jackson-databind 2.9.8之前的2.x版本中存在安全漏洞。攻击者可利用该漏洞执行代码。
CVE-2018-19362 MPS-2019-0025
2023-12-20 20:06
FasterXML jackson-databind 反序列化漏洞(HikariCP gadget绕过)
反序列化
FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的组件。 FasterXML jackson-databind 2.9.10之前版本中存在代码问题漏洞。攻击者可利用该漏洞执行代码。
CVE-2019-14540 MPS-2019-11529
2023-12-20 20:06
FasterXML jackson-databind 反序列化漏洞(HikariCP gadget绕过)
反序列化
FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的组件。 FasterXML jackson-databind 2.9.10之前版本中存在反序列化漏洞,当启用DefaultTyping功能时,可以通过com.zaxxer:HikariCP中包含的com.zaxxer.hikari.HikariDataSource 类绕过黑名单类限制。
CVE-2019-16335 MPS-2019-11533
2023-12-20 20:06
FasterXML jackson-databind 反序列化漏洞(commons-dbcp gadget绕过)
反序列化
FasterXML jackson-databind是一个基于JAVA可以将XML和JSON等数据格式与JAVA对象进行转换的库。Jackson可以轻松的将Java对象转换成json对象和xml文档,同样也可以将json、xml转换成Java对象。 FasterXML jackson-databind 2.0.0版本至2.9.10版本中存在代码问题漏洞。该漏洞源于网络系统或产品的代码开发过程中存在设计或实现不当的问题。攻击者可通过发送特制请求利用该漏洞在系统上执行任意代码。
CVE-2019-16942 MPS-2019-12479
2023-12-20 20:06
FasterXML jackson-databind 反序列化漏洞(p6spy gadget绕过)
反序列化
FasterXML jackson-databind是一个基于JAVA可以将XML和JSON等数据格式与JAVA对象进行转换的库。Jackson可以轻松的将Java对象转换成json对象和xml文档,同样也可以将json、xml转换成Java对象。 FasterXML jackson-databind 2.0.0版本至2.9.10版本中存在反序列化漏洞。当启用DefaultTyping功能时,可以通过p6spy中包含的com.p6spy.engine.spy.P6DataSource类绕过黑名单类限制。
CVE-2019-16943 MPS-2019-12480
2023-12-20 20:06
FasterXML jackson-databind 反序列化漏洞(ehcache gadget绕过)
反序列化
FasterXML jackson-databind是一个基于JAVA可以将XML和JSON等数据格式与JAVA对象进行转换的库。Jackson可以轻松的将Java对象转换成json对象和xml文档,同样也可以将json、xml转换成Java对象。 FasterXML jackson-databind 2.9.10之前版本中,当启用DefaultTyping功能时,可以通过ehcache绕过黑名单类限制。
CVE-2019-17267 MPS-2019-12676
2023-12-20 20:06
FasterXML jackson-databind 反序列化漏洞(apache-log4j-extras gadget绕过)
反序列化
FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的组件。 FasterXML jackson-databind 2.0.0版本至2.9.10版本中存在实现缺陷,当启用DefaultTyping功能时,可以通过apache-log4j-extras绕过黑名单类限制。
CVE-2019-17531 MPS-2019-13103
2023-12-20 20:06
jQuery 原型污染漏洞
拒绝服务
jQuery是美国John Resig程序员的一套开源、跨浏览器的JavaScript库。该库简化了HTML与JavaScript之间的操作,并具有模块化、插件扩展等特点。 jQuery 3.4.0之前版本中存在安全漏洞。攻击者可利用该漏洞添加或更改Object.prototype的属性。
CVE-2019-5428 MPS-2019-18923
2023-12-20 20:06
FasterXML Jackson-databind反序列化漏洞(Jodd-db gadget绕过)
反序列化
FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的组件。 FasterXML jackson-databind 2.7.9.4之前版本、2.8.11.2之前版本和2.9.6之前版本中存在安全漏洞。攻击者可利用该漏洞执行执行代码。
CVE-2018-12022 MPS-2019-2619
2023-12-20 20:06
FasterXML Jackson-databind反序列化漏洞(Oracle JDBC driver gadget绕过)
反序列化
FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的组件。 FasterXML Jackson-databind 2.7.9.4之前版本、2.8.11.2之前版本和2.9.6之前版本中存在代码问题漏洞。远程攻击者可利用该漏洞在受影响应用程序的上下文中执行任意代码或造成拒绝服务。
CVE-2018-12023 MPS-2019-2620
2023-12-20 20:06
jQuery < 3.4.0 跨站脚本漏洞
原型污染
jQuery是美国John Resig个人开发者的一套开源、跨浏览器的JavaScript库。该库简化了HTML与JavaScript之间的操作,并具有模块化、插件扩展等特点。 jQuery 3.4.0之前版本中存在跨站脚本漏洞,该漏洞源于WEB应用缺少对客户端数据的正确验证。攻击者可利用该漏洞执行js代码。
CVE-2019-11358 MPS-2019-4192
2023-12-20 20:06
没有更多内容
加载失败,请刷新页面
点击加载更多
加载中
下一页
3 评论
135 收藏
分享
OSCHINA
登录后可查看更多优质内容
返回顶部
顶部