Grype:容器镜像漏洞扫描,一条命令搞定

做容器开发的同学应该都有体会:镜像拉下来跑得挺欢,但里面有没有漏?安的依赖有没有已知 CVE?一个个查太累,不查又心里没底。

Anchore 开源的 Grype 就是解决这个问题的。目前 GitHub 上 12,509 个 Star,属于容器安全领域的标配工具之一。

正文顶部截图

这东西能扫什么

Grype 的核心能力就两句话:扫镜像、扫目录,告诉你里面有没有已知漏洞。

支持的扫描对象挺全的:

  • 容器镜像(Docker、OCI 格式都行)
  • 本地文件系统
  • SBOM(软件物料清单)

操作系统层面,Alpine、Debian、Ubuntu、RHEL、Amazon Linux 这些主流发行版都支持。编程语言层面更广,Java、Python、Go、Rust、PHP、JavaScript、.NET 全囊括了。

用法有多简单

安装就一行命令:

curl -sSfL https://get.anchore.io/grype | sudo sh -s -- -b /usr/local/bin

扫一个镜像:

grype alpine:latest

扫一个项目目录:

grype ./my-project

如果你已经有 SBOM 文件,也可以直接喂给 Grype 扫,速度更快:

grype sbom:./sbom.json

没有复杂配置,装完就能用。

凭什么它有优先级

漏洞扫出来是一回事,怎么排序处理是另一回事。Grype 集成了 EPSS(漏洞利用预测评分系统)和 KEV(已知被利用漏洞目录),结合风险评分帮你判断哪些漏洞最该优先处理。

另外它还支持 OpenVEX 标准,可以过滤和补充扫描结果——也就是说,你可以在扫描结果里标记哪些漏洞已经被缓解了,下次扫的时候不会再报。

README区域截图

适合谁用

如果你自己搭 CI/CD 流程,Grype 可以嵌入 pipeline,每次构建自动扫一遍镜像。如果你在管生产环境的容器,也可以定期扫描运行中的镜像。

工具本身是 Apache-2.0 开源协议,不用考虑授权问题。Anchore 公司还在持续维护,社区也很活跃,定期有线上会议讨论功能走向。

整体来说,Grype 是个实在的工具:装得快、用得简单、结果清晰。容器安全这件事,有一个顺手的好工具,比什么都强。

整体来说,Grype 是个实在的工具:装得快、用得简单、结果清晰。容器安全这件事,有一个顺手的好工具,比什么都强。

Logo

openEuler 是由开放原子开源基金会孵化的全场景开源操作系统项目,面向数字基础设施四大核心场景(服务器、云计算、边缘计算、嵌入式),全面支持 ARM、x86、RISC-V、loongArch、PowerPC、SW-64 等多样性计算架构

更多推荐