# 1.简介

Trivy 是一个开源的综合安全扫描工具。你给它一个容器镜像、一个代码目录或者一个 K8s 集群，它会自动扫描里面的已知漏洞（CVE）、配置问题、密钥泄露、软件许可证风险，然后给你一份报告。

Aqua Security 开源项目，截至 2026 年 3 月，GitHub 约 33.1k stars，Apache-2.0 协议。

项目地址：https://github.com/aquasecurity/trivy

![Trivy Logo](/media/202604/23c34da52e954b5c8f9f4ef6ab159ce33458.png)

Trivy Logo

# 2.它能扫什么？

一张图说清楚 Trivy 的能力范围：

![功能概览](/media/202604/cf1d248021f64cd9805558139ca5b38a2258.png)

语言支持也很全面：Go、Java、Python、Node.js、Ruby、Rust、PHP、.NET、Swift 等主流语言都覆盖了。

Trivy 的扫描流程很简洁：

![扫描流程](/media/202604/55bf8f0a86c94f9f950d01c5554500e14038.png)

扫描流程

1.  从 GitHub 下载 Trivy 漏洞数据库（trivy-db）
    
2.  拉取容器镜像的各层或分析目标文件
    
3.  解析分层内容，缓存分析结果
    
4.  逐层扫描，匹配漏洞数据库
    
5.  输出安全问题报告

整个过程不依赖外部服务，漏洞数据库下载到本地后完全离线运行。扫描速度很快，一个普通镜像几秒钟就能出结果。

**适合谁用：** DevOps 团队做 CI/CD 安全卡点、安全团队做镜像准入审查、运维团队做 K8s 集群安全巡检、合规团队做 SBOM 和漏洞审计。

*   项目地址：https://github.com/aquasecurity/trivy
    
*   官方文档：https://trivy.dev/docs/latest/
    
*   GitHub Actions 插件：https://github.com/aquasecurity/trivy-action
    
*   K8s Operator：https://github.com/aquasecurity/trivy-operator

容器镜像集群扫描器