EN Contattaci

Trivy: security scanner universale per container e IaC

Trivy (maggio 2019) di Aqua Security (Teppei Fukuda): scanner di sicurezza per container, filesystem, IaC (Terraform, K8s, Dockerfile), repository Git. CVE detection, misconfiguration, secrets. Standard scanning Open Source.

Open SourceCybersecurity
Open SourceCybersecurity TrivyAqua SecurityContainer SecurityCVEIaC ScanningOpen Source
CyberScan

CyberScan

Piattaforma di vulnerability assessment automatizzata, threat intelligence e continuous security posture management.

Scopri →

Shift-left security

La security supply chain sta diventando priorità negli ambienti DevOps: scanning sistematico di container, dipendenze e IaC prima del deploy. Strumenti precoci (Clair, Anchore) sono specialistici e complessi. Serve un tool single-binary con UX semplice e accuratezza alta.

Il rilascio

Trivy è pubblicato da Teppei Fukuda nel 2019, acquisito presto da Aqua Security. Prima release stabile maggio 2019. Licenza Apache 2.0. Scritto in Go, single binary ~40 MB.

Cosa scansiona

  • Container images (Docker, OCI) — CVE del SO + linguaggi
  • Filesystem — scansione directory locali
  • Git repository — scansione codice sorgente
  • Kubernetes cluster — pod running, manifest
  • IaC — Terraform, CloudFormation, Kubernetes YAML, Dockerfile, Helm, Ansible
  • SBOM — lettura CycloneDX, SPDX
  • VM images — AMI, QCOW2

Categorie di vulnerability

  • OS packages — apt, yum, apk, rpm CVE da NVD, CERT, GitHub Security Advisory
  • Language dependencies — npm, pip, gem, Maven, Go modules, Composer, Cargo, NuGet
  • Misconfiguration — policy YAML/HCL problematiche
  • Secrets — API key, token, password committati (come gitleaks)
  • Licenses — licenza di ogni dipendenza (compliance legale)
trivy image nginx:latest
trivy fs --scanners vuln,secret,config ./
trivy k8s --report summary cluster
trivy sbom ./sbom.spdx.json

Integrazione

  • CI/CD — GitHub Actions, GitLab CI, Jenkins, CircleCI
  • Kubernetes operator — Trivy Operator (scansione continua)
  • Admission controller — via Kyverno image verification
  • Harbor registry — integrato come scanner predefinito
  • OCI compliance — SBOM generation + signing

Concorrenti

  • Grype (Anchore, OSS) — simile approccio
  • Clair (CoreOS/Red Hat) — veterano, meno user-friendly
  • Docker Scout (Docker Inc) — parte di Docker Desktop
  • Snyk — commerciale, scanning + remediation
  • Wiz, Aqua Platform, Prisma Cloud — enterprise suite
  • Twistlock (Palo Alto) — commerciale

Nel contesto italiano

Trivy sta entrando rapidamente nelle pipeline CI/CD italiane: banche, PA digitale, SaaS B2B, fintech PSD2, MSP con offerte managed security. Si integra naturalmente con Harbor registry e con GitLab CI come passo default dei nuovi template.

Riferimenti: Trivy (maggio 2019). Aqua Security (Teppei Fukuda). Licenza Apache 2.0. Scritto in Go. Single binary. Scansione container, filesystem, Git, IaC. Harbor registry integration.

Vuoi supporto? Sei sotto attacco? Stato dei servizi
Vuoi supporto? Sei sotto attacco? Stato dei servizi