Contactez-nous
-
sécurité

Trivy, un scanner de sécurité couteau suisse

Trivy, un scanner de sécurité couteau suisse

Sommaire

Trivy, principes et objectif

Trivy (prononcé “trivi”) est un scanner de sécurité Open Source développé par Aqua Security. Il est exploitable en CLI, mais son objectif est d’être mis en place au sein d’une CI.

Chez Trivy, il existe 2 notions primordiales : les scanners et les cibles (targets).

  • Scanner (Quoi) : Les problèmes que va chercher Trivy.
    • Paquets de systèmes d’exploitation et dépendances logicielles (SBOM)
    • Vulnérabilités connues (CVE*)
    • Mauvaise configuration IaC
    • Informations sensibles et secrets
  • Cible/Target (Où) : Où Trivy peut trouver les problèmes.
    • Image de conteneur
    • Système de fichiers
    • Dépôt Git
    • Cluster Kubernetes ou une ressource
    • etc.

GitHub officiel : https://github.com/aquasecurity/trivy 

SBOM (Software Bill of Material) : Inventaire des composants utilisés pour construire un artefact logiciel.

CVE (Common Vulnerabilities and Exposures)* : Vulnérabilité spécifique d'un produit ou d'un système, et non les failles sous-jacentes.

Comment installer Trivy ?

Trivy est relativement simple à installer. La documentation officielle propose plusieurs méthodes d’installation :

  • via les gestionnaires de paquets classiques (apt/yum/pacman)
  • via Homebrew (brew) ou via MacPorts sur MacOS
  • via MacPorts sur MacOS
  • via Docker
  • En récupérant directement les binaires
  • Nix
  • etc.

Les avantages de Trivy

Trivy est une boîte à outils de sécurité relativement simple à exploiter. C'est un outil intéressant dans le sens où à partir d’un seul binaire, il est possible d’avoir un aperçu rapide des failles de sécurité. Que ce soit du code Terraform, un conteneur, un cluster K8S ou encore un compte AWS, Trivy peut révéler les faiblesses de sécurité en une simple commande.

Mettre en place la sécurité au sein d’une entreprise n’est pas toujours une tâche aisée. Elle est souvent entrevue comme un élément chronophage, coûteux et nécessitant des compétences avancées. L’utilisation de ce type d’outil permet d’introduire la notion de sécurité avec un coût et un effort minime. C’est, je pense, un moyen d’obtenir des victoires rapides en sécurité. 

Outre sa simplicité, l’autre force de Trivy est sa facilité d’intégration à la CI, qui est un argument non négligeable. Ce type d’outil gagne réellement en valeur une fois qu’il est automatisé et intégré aux processus de l’entreprise. Aqua Security maintient de nombreux exemples de CI Trivy dans sa documentation officielle.

Anticipez avec ShiftLeft

Vous pouvez aussi adopter le ShiftLeft, cette pratique qui consiste à apporter de la sécurité au plus tôt dans votre cycle de développement. Il existe plusieurs solutions :

  • Extension IDE : Vous pouvez ajouter Trivy directement à votre IDE, VSCode possède une extension maintenue par Aqua Security
  • Pre-commit : Il n’existe pas de hook officiel, mais vous pouvez en confectionner un qui correspond à votre besoin. Si vous ne connaissez pas pre-commit, c’est un outil qui permet de déclencher des scripts en fonction d’une commande Git. Vous pouvez en apprendre plus sur le sujet par cet article du blog WeScale.

Pratiquez Trivy avec Killercoda

Maintenant que nous savons à quoi sert Trivy, comment il fonctionne et comment l’utiliser, il est l’heure de le pratiquer !

Pour ce Tools in Action, je vous ai concocté un scénario Killercoda pour appréhender les bases de Trivy. Vous pouvez le recommencer autant de fois que vous le souhaitez. Enjoy !

Dans ce scénario, vous pratiquerez l’installation du binaire Trivy et son utilisation dans le but de corriger une faiblesse de sécurité.

Je lance le scénario Killercoda

 

TFSec vs Trivy ?

La documentation TFSec répond à cette question. Trivy intègre TFSec pour faire ses scans, mais n’en possède pas toutes les fonctionnalités. Si vous souhaitez uniquement faire des scans Terraform, préférez TFSec. Si vous souhaitez scanner de tout, préférez Trivy.

TFSec est une solution qui vous intéresse ?

Apprenez en plus à travers ces deux articles :

Conclusion

J’espère que cette première introduction à Trivy vous aura plu, notamment le scénario Killercoda !

Faites-nous savoir si la découverte de ces outils vous intéresse !

Si vous souhaitez en apprendre plus sur Trivy ou les outils d’Aqua Security, suivez l’actualité du blog WeScale, d’autres articles sur le sujet suivront !