Aqua Security Trivy插件：代码仓库保护

镜像概述和主要用途

Aqua Security Trivy插件是一项高级产品，旨在通过与行业领先的漏洞扫描器Trivy（Trivy）无缝集成，增强代码仓库的安全性（Trivy文档）。该插件仅对Aqua Security客户可用，提供超越标准漏洞扫描的高级安全功能。

核心功能和特性

• 增强安全扫描：Aqua Security客户可使用高级功能，包括增强的秘密扫描引擎、静态应用安全测试(SAST)、可达性检查等。

• 更优的秘密扫描：检测代码库和配置文件中的敏感信息（如API密钥和密码），防止潜在泄露。

• 静态应用安全测试(SAST)：分析源代码中的安全漏洞，包括可能导致潜在利用的代码模式。

• 可达性检查：提供更细致的分析，了解现有漏洞是否可被代码仓库中的包访问。若漏洞可达，可优先修复。

• 自定义安全策略：根据组织需求定制安全策略，包括严重级别阈值和合规要求。更多信息请参见Aqua***文档。

• 详细报告：接收全面的安全报告，包含可操作的修复建议。

• CI/CD流水线集成：无缝整合到CI/CD流水线中，确保在整个软件开发生命周期中执行严格的安全检查。

使用场景和适用范围

适用于需要在软件开发周期中加强代码仓库安全的Aqua Security客户，特别是希望在CI/CD流程中集成自动化安全检查，防止敏感信息泄露、识别代码漏洞并优先修复关键安全问题的组织。

使用方法和配置说明

开始使用

要开始使用Aqua Security Trivy集成保护代码仓库，请联系我们的销售或支持团队，了解更多优势和访问方式。

环境变量

必填

唯一明确需要的环境变量如下：

可选

Trivy将尝试从可用环境变量中解析以下详细信息：

• 仓库名称
• 分支名称
• 提交ID
• 提交用户
• 构建系统

以下是用于覆盖默认值和行为的环境变量：

命令行参数

CI/CD集成示例

GitHub Action集成示例

以下示例展示如何将Aqua Security Trivy集成无缝整合到开发工作流中，可由推送（全量扫描）或拉取请求创建（扫描Git差异）触发：

yaml
name: 代码仓库安全扫描

on:
  pull_request:
  push:
    branches:
      - main

jobs:
  security_scan:
    runs-on: ubuntu-latest

    steps:
      - name: 检出代码
        uses: actions/checkout@v2

      - name: 运行Aqua扫描器
        uses: docker://aquasec/aqua-scanner 
        with:
          args: trivy fs --scanners misconfig,vuln,secret .
        env:
          AQUA_KEY: ${{ secrets.AQUA_KEY }}
          AQUA_SECRET: ${{ secrets.AQUA_SECRET }}
          GITHUB_TOKEN: ${{ github.token }}
          TRIVY_RUN_AS_PLUGIN: "aqua"
          # 在此处使用其他环境变量

手动使用Docker命令运行

bash
AQUA_KEY=${AQUA_KEY} AQUA_SECRET=${AQUA_SECRET} TRIVY_RUN_AS_PLUGIN=aqua docker run -it -e AQUA_KEY -e AQUA_SECRET -e TRIVY_RUN_AS_PLUGIN -e INPUT_WORKING_DIRECTORY=/scanning -v "${YOUR_WORKSPACE}":"/scanning" aquasec/aqua-scanner trivy fs --scanners misconfig,vuln,secret .

Podman使用示例

bash
podman run --rm \ 
                -e AQUA_KEY=${AQUA_KEY} \
                -e AQUA_SECRET=${AQUA_SECRET} \
                -e TRIVY_RUN_AS_PLUGIN='aqua' \
                -e SAST='true' \
                -e INPUT_WORKING_DIRECTORY='/scanning' \
                -v ${WORKSPACE}:/scanning \
                docker.io/aquasec/aqua-scanner \
                git config --global --add safe.directory /scanning && trivy fs --scanners='misconfig,vuln,secret' .

在CI环境中，重要的是包含源代码管理(SCM)令牌以处理拉取请求。有关各SCM的更多指导和详细信息，请参阅Aqua平台文档。

Aqua扫描器镜像使用说明

"aqua-scanner"镜像可从Docker Hub的aquasec仓库获取。该镜像用于扫描与具有管理员级别权限的CI构建系统关联的代码仓库。如果需要扫描与具有非root用户权限的CI构建系统关联的代码仓库，请使用带有latest-limited标签的Aqua扫描器镜像，即aquasec/aqua-scanner:latest-limited。此镜像兼容AMD64和ARM64 Linux平台。

以下是在Azure流水线脚本中使用"Push"选项和aqua-scanner:latest-limited的示例代码块。仅当在Azure流水线脚本中添加此代码块时，确保包含选项：-u 0。如果要使用带limited标签的aqua-scanner，并将Aqua UI中的代码块添加到其他仓库托管平台的流水线脚本中，请将aqua-scanner替换为aqua-scanner:latest-limited。

yaml
trigger:
  - main  

container:
  image: aquasec/aqua-scanner:latest-limited
  options: -u 0
  env:
    AQUA_KEY: $(AQUA_KEY)
    AQUA_SECRET: $(AQUA_SECRET)
    AZURE_TOKEN: $(AZURE_TOKEN)
    TRIVY_RUN_AS_PLUGIN: aqua
steps:
  - checkout: self
    fetchDepth: 0
  - script: |
      trivy fs --scanners misconfig,vuln,secret .
    displayName: Aqua扫描器

兼容性

该插件设计用于Docker环境，兼容Linux容器。对Gradle无锁文件扫描的支持从Gradle 7.0.0开始，支持Groovy和Kotlin DSL。

许可证

本GitHub仓库采用Apache License 2.0许可证。它仅对Aqua Security客户开放，并非开源软件。有关许可详情，请联系Aqua Security。