投稿

[CKS 시험준비] - Trivy를 이용한 이미지 취약성 점검

投稿日 更新日
投稿者 hyeonjae
2 分で読めます
[CKS 시험준비] - Trivy를 이용한 이미지 취약성 점검

CVE

CVE는 Common Vulnerabilities and Exposures의 약자로 이 세상에는 완벽한 코드는 존재하지 않으므로 소프트웨어에는 공격자가 악용할 수 있는 취약점이 존재 할 수 있다. 보안 연구원들은 이러한 취약점을 발견하면 중앙 CVE 데이터베이스에 보고하며 다음과 같은 작업을 수행한다 .

  • 버그 보고를 간소화하고 중복항목을 방지한다.
  • 각 취약점에 대해 고유한 식별자를 부여한다.
  • 개발자와 시스템관리자가 문제의 우선순위를 정하고 해결할 수 있도록 자세한 정보를 제공한다

CVE는 일반적으로

  • 보안 제어를 우회할 . 있는 취약점
  • 시스템 성능을 저하시키거나 서비스 중단을 일으키거나 그 밖에 시스템을 불안정하게 만드는 취약점

으로 분류된다

Trivy를 이용한 보안 스캐닝

데비안 시스템에서 Trivy 설치방법

https://trivy.dev/latest/

1
2
3
4
5

sudo apt-get install wget apt-transport-https gnupg lsb-release
wget -qO - https://aquasecurity.github.io/trivy-repo/deb/public.key | sudo apt-key add -
echo "deb https://aquasecurity.github.io/trivy-repo/deb $(lsb_release -sc) main" | sudo tee /etc/apt/sources.list.d/trivy.list
sudo apt-get update
sudo apt-get install trivy

nginx이미지 점검해보기

1

trivy image nginx:1.18.0

1
2
3
4
5
6
7
8

# Critical만 표시
trivy image --severity CRITICAL nginx:1.18.0

# Critical, High만 표시
trivy image --severity CRITICAL,HIGH nginx:1.18.0

# 취약점이 수정된 것만 표시
trivy image --ignore-unfixed nginx:1.18.0

1
2
3
4
5

# tar 아카이브로 도커 이미지를 저장하기
docker save nginx:1.18.0 > nginx.tar

# tar 아카이브로 저장한 이미지를 점검
trivy image --input nginx.tar
kubernetes, Networking
cilium Networking CoreDNS
この投稿は投稿者によって CC BY 4.0 の下でライセンスされています。