Trivy (prononcé “trivi”) est un scanner de sécurité Open Source développé par Aqua Security. Il est exploitable en CLI, mais son objectif est d’être mis en place au sein d’une CI.
Chez Trivy, il existe 2 notions primordiales : les scanners et les cibles (targets).
GitHub officiel : https://github.com/aquasecurity/trivy
SBOM (Software Bill of Material) : Inventaire des composants utilisés pour construire un artefact logiciel.
CVE (Common Vulnerabilities and Exposures)* : Vulnérabilité spécifique d'un produit ou d'un système, et non les failles sous-jacentes.
Trivy est relativement simple à installer. La documentation officielle propose plusieurs méthodes d’installation :
Trivy est une boîte à outils de sécurité relativement simple à exploiter. C'est un outil intéressant dans le sens où à partir d’un seul binaire, il est possible d’avoir un aperçu rapide des failles de sécurité. Que ce soit du code Terraform, un conteneur, un cluster K8S ou encore un compte AWS, Trivy peut révéler les faiblesses de sécurité en une simple commande.
Mettre en place la sécurité au sein d’une entreprise n’est pas toujours une tâche aisée. Elle est souvent entrevue comme un élément chronophage, coûteux et nécessitant des compétences avancées. L’utilisation de ce type d’outil permet d’introduire la notion de sécurité avec un coût et un effort minime. C’est, je pense, un moyen d’obtenir des victoires rapides en sécurité.
Outre sa simplicité, l’autre force de Trivy est sa facilité d’intégration à la CI, qui est un argument non négligeable. Ce type d’outil gagne réellement en valeur une fois qu’il est automatisé et intégré aux processus de l’entreprise. Aqua Security maintient de nombreux exemples de CI Trivy dans sa documentation officielle.
Vous pouvez aussi adopter le ShiftLeft, cette pratique qui consiste à apporter de la sécurité au plus tôt dans votre cycle de développement. Il existe plusieurs solutions :
Maintenant que nous savons à quoi sert Trivy, comment il fonctionne et comment l’utiliser, il est l’heure de le pratiquer !
Pour ce Tools in Action, je vous ai concocté un scénario Killercoda pour appréhender les bases de Trivy. Vous pouvez le recommencer autant de fois que vous le souhaitez. Enjoy !
Dans ce scénario, vous pratiquerez l’installation du binaire Trivy et son utilisation dans le but de corriger une faiblesse de sécurité.
La documentation TFSec répond à cette question. Trivy intègre TFSec pour faire ses scans, mais n’en possède pas toutes les fonctionnalités. Si vous souhaitez uniquement faire des scans Terraform, préférez TFSec. Si vous souhaitez scanner de tout, préférez Trivy.
TFSec est une solution qui vous intéresse ?
Apprenez en plus à travers ces deux articles :
J’espère que cette première introduction à Trivy vous aura plu, notamment le scénario Killercoda !
Faites-nous savoir si la découverte de ces outils vous intéresse !
Si vous souhaitez en apprendre plus sur Trivy ou les outils d’Aqua Security, suivez l’actualité du blog WeScale, d’autres articles sur le sujet suivront !