和做体检一样,通过漏洞扫描工具,定期对计算机系统、软件、应用程序或网络接口进行扫描,能够发现企业信息安全存在的潜在威胁,从而及时采取补救措施。因此,漏洞扫描工具对企业安全人员来说就非常关键。目前,市面上也有很多付费,免费或者是开源的不同漏洞扫描工具。这期《微步一周荐读》为大家梳理了一批开源、免费的漏扫工具,希望对你有帮助。
Trivy开源漏洞扫描器
Trivy是一个开源漏洞扫描程序,能够检测开源软件中的CVE(公开漏洞列表)。这款工具针对风险提供了及时的解释,开发人员可自行决定是否在容器或应用程序中使用该组件。常规的容器安全协议使用的是静态镜像扫描来发现漏洞,Trivy则是将漏洞扫描工具无缝合并到集成开发环境(IDE)当中。
另外,由于背靠庞大的开源社区,许多的集成及附加组件都支持Trivy,例如使用Helm图表能够将Trivy安装到Kubernetes集群,借助Prometheus导出器能够提取漏洞指标。
工具