EN Contattaci

Trivy: security scanner universale per container e IaC

Trivy (maggio 2019) di Aqua Security (Teppei Fukuda): scanner di sicurezza per container, filesystem, IaC (Terraform, K8s, Dockerfile), repository Git. CVE detection, misconfiguration, secrets. Standard scanning open source.

Open SourceCyber Security
Open SourceCyber Security TrivyAqua SecurityContainer SecurityCVEIaC ScanningOpen Source
CyberScan

CyberScan

Piattaforma di vulnerability assessment automatizzata, threat intelligence e continuous security posture management.

Scopri →

Shift-left security

La security supply chain (2020+, post-SolarWinds, post-Log4Shell) impone scanning sistematico di container, dipendenze, IaC prima del deploy. Strumenti precoci (Clair, Anchore) sono specialistici e complessi. Serve un tool single-binary con UX semplice e accuratezza alta.

Il rilascio

Trivy è pubblicato da Teppei Fukuda nel 2019, acquisito presto da Aqua Security. Prima release stabile maggio 2019. Licenza Apache 2.0. Scritto in Go, single binary ~40 MB.

Cosa scansiona

  • Container images (Docker, OCI) — CVE del SO + linguaggi
  • Filesystem — scansione directory locali
  • Git repository — scansione codice sorgente
  • Kubernetes cluster — pod running, manifest
  • IaC — Terraform, CloudFormation, Kubernetes YAML, Dockerfile, Helm, Ansible
  • SBOM — lettura CycloneDX, SPDX
  • VM images — AMI, QCOW2

Categorie di vulnerability

  • OS packages — apt, yum, apk, rpm CVE da NVD, CERT, GitHub Security Advisory
  • Language dependencies — npm, pip, gem, Maven, Go modules, Composer, Cargo, NuGet
  • Misconfiguration — policy YAML/HCL problematiche
  • Secrets — API key, token, password committati (come gitleaks)
  • Licenses — licenza di ogni dipendenza (compliance legale)
trivy image nginx:latest
trivy fs --scanners vuln,secret,config ./
trivy k8s --report summary cluster
trivy sbom ./sbom.spdx.json

Integrazione

  • CI/CD — GitHub Actions, GitLab CI, Jenkins, CircleCI
  • Kubernetes operator — Trivy Operator (scansione continua)
  • Admission controller — via Kyverno image verification
  • Harbor registry — integrato come scanner predefinito
  • OCI compliance — SBOM generation + signing

Versioni

  • 0.1 (maggio 2019) — prima release
  • 0.20 (2021) — IaC scanning
  • 0.30 (2022) — K8s scanning
  • 0.40 (2023) — SBOM + VEX
  • 0.50+ (2024-2025) — misconfig standardization, improved policies

Concorrenti

  • Grype (Anchore, OSS) — simile approccio
  • Clair (CoreOS/Red Hat) — veterano, meno user-friendly
  • Docker Scout (Docker Inc) — parte di Docker Desktop
  • Snyk — commerciale, scanning + remediation
  • Wiz, Aqua Platform, Prisma Cloud — enterprise suite
  • Twistlock (Palo Alto) — commerciale

Nel contesto italiano

Trivy è ubiquamente presente nelle pipeline CI/CD italiane:

  • Banche — scan obbligatorio pre-deploy (ISO 27001, PCI DSS)
  • PA digitale — requisito Linee Guida AgID sicurezza
  • SaaS B2B — validazione supply chain container
  • Fintech PSD2 — scan per regolamentazioni
  • MSP — offerte managed security con Trivy + Harbor
  • GitLab CI template integrati con Trivy come passo default

Riferimenti: Trivy (maggio 2019). Aqua Security (Teppei Fukuda). Licenza Apache 2.0. Scritto in Go. Single binary. Scansione container, filesystem, Git, K8s, IaC, SBOM. Harbor registry integration.

Vuoi supporto? Sei sotto attacco? Stato dei servizi
Vuoi supporto? Sei sotto attacco? Stato dei servizi