# Trivy Image ### Overview Trivy Image (режим `trivy image`) используется в TRAIO для сканирования docker-образов на уязвимости (CVE) в пакетах ОС и зависимостях внутри образа. ### Supported Stack * Docker images ### Requirements * В Sequences перед этим инструментом должен быть добавлен job **Code Downloader**. ### How it works Сканер использует официальный docker-образ Trivy (рекомендуемо): * `aquasec/trivy:latest` Пример команды: ```sh if [ "$TRIVY_MODE" = "image" ]; then trivy image --format json --output "/data/$REPORT_FILE_NAME" "$DOCKER_IMAGE" || true elif [ "$TRIVY_MODE" = "iac" ]; then trivy config --format json --output "/data/$REPORT_FILE_NAME" ./ || true else trivy fs --format json --output "/data/$REPORT_FILE_NAME" ./ || true fi echo "Trivy report saved to /data/$REPORT_FILE_NAME" cat "/data/$REPORT_FILE_NAME" ``` ### Variables
ПеременнаяПримерОбязательнаяОписание
REPORT_FILE_NAMEtrivy-image.jsonДаИмя файла отчёта, который TRAIO забирает из /data.
SCAN_TYPETrivy ScanДаТип сканирования для парсинга в TRAIO.
TRIVY_MODEimageДаРежим запуска.
DOCKER_IMAGEДаDocker-образ, который нужно просканировать.
DOCKER_IMAGE_TAGДаТег Docker-образа, который нужно просканировать.
### **Offline mode:** **Trivy DB-Included - Need to Choose Mode** — job для запуска Trivy в полностью оффлайн контуре на базе образа `registry.gitlab.com/traio-group/tools/trivy-offline:0.68.2`, где базы (Trivy DB и Java DB) уже предзагружены в образ. В этом job нужно выбрать режим сканирования через TRIVY\_MODE: fs (сканирование файловой системы/репозитория), iac (сканирование IaC через trivy config) или image (сканирование контейнерного образа через trivy image). Если TRIVY\_MODE не задан, стандартно используется режим fs. ### Links * Trivy (Image scanning): * Trivy docs: