技能 container-grype

🛡️

container-grype

Name: container-grype
Author: AgentSecOps

安全 ⚙️ 外部命令🌐 网络访问🔑 环境变量📁 文件系统访问

فحص صور الحاويات بحثًا عن الثغرات باستخدام Grype

غالبًا ما تحتوي صور الحاويات على ثغرات أمنية معروفة في حزم نظام التشغيل وتبعيات التطبيقات. توفر هذه المهارة سير عمل موجّهًا لفحص الصور باستخدام Grype، وتفسير درجات CVSS، وترتيب الأولويات بناءً على مؤشرات CISA KEV، ودمج بوابات الأمان ضمن خطوط CI/CD.

支持: Claude Codex Code(CC)

🥉 76 青铜

下载技能 ZIP

在 Claude 中上传

前往设置 → 功能 → 技能 → 上传技能

开启并开始使用

测试它

正在使用“container-grype”。 Scan myapp:latest Docker image for vulnerabilities and help me prioritize the fixes

预期结果:

وجد Grype 12 ثغرة في myapp:latest:
• 2 حرجة (CVSS 9.0+) - CVE-2024-1234, CVE-2024-5678
• 3 عالية (CVSS 7.0-8.9) - ثغرات في حزم الصورة الأساسية
• 5 متوسطة (CVSS 4.0-6.9) - ثغرات في التبعيات
• 2 منخفضة (CVSS <4.0) - نتائج معلوماتية
الإجراء الموصى به: ركّز أولًا على الثغرات الحرجة. يظهر CVE-2024-1234 ضمن CISA KEV (مستغل فعليًا في الواقع). حدّث صورة الأساس alpine:3.14 إلى 3.19 أو طبّق تصحيحات الأمان المتاحة.

正在使用“container-grype”。 Configure a GitHub Actions workflow to scan images on every push with fail-on-critical

预期结果:

إليك سير عمل GitHub Actions لفحص حاويات Grype:
name: Container Security Scan
on: [push, pull_request]
jobs:
grype-scan:
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v4
- name: Build Docker image
run: docker build -t ${{ github.repository }}:${{ github.sha }} .
- name: Run Grype scan
uses: anchore/scan-action@v3
with:
image: ${{ github.repository }}:${{ github.sha }}
fail-build: true
severity-cutoff: critical

正在使用“container-grype”。 How do I prioritize which container vulnerabilities to fix first?

预期结果:

ترتيب أولويات المعالجة الموصى به:
1. ثغرات CISA KEV (مستغلة فعليًا في الواقع) - أصلح فورًا
2. درجات EPSS عالية (>10%) - احتمال مرتفع للاستغلال
3. CVSS حرجة (9.0-10.0) - ثغرات ذات تأثير شديد
4. CVSS عالية (7.0-8.9) - تأثير أمني كبير
5. CVSS متوسطة (4.0-6.9) - تأثير متوسط، جدولة المعالجة
6. CVSS منخفضة (<4.0) - معلوماتية، عالج عندما يسمح الوقت

安全审计

安全

v5 • 1/16/2026

Documentation-only skill containing markdown files and YAML configuration templates for the open-source Grype vulnerability scanner. All 332 static findings are false positives - the scanner flagged shell command examples (177), URL references (45), and environment variable patterns (27) in documentation as security issues. No executable code exists. This skill provides documentation and workflows for container vulnerability scanning but performs no actual scanning, network access, or file system operations beyond reading its own documentation files.

已扫描文件

3,702

分析行数

发现项

审计总数

风险因素

⚙️ 外部命令 (5)

SKILL.md:42-307 assets/ci-config-template.yml:134-310 assets/grype-ci-config.yml:248-373 references/cisa_kev.md:55-86 references/vulnerability_remediation.md:27-476

🌐 网络访问 (4)

SKILL.md:19-21 SKILL.md:324-329 references/cvss_guide.md:208-210 references/cisa_kev.md:174-225

🔑 环境变量 (3)

assets/ci-config-template.yml:164 assets/rule-template.yaml:132-165 references/EXAMPLE.md:423-444

📁 文件系统访问 (1)

assets/grype-config.yaml:89-107

审计者: claude 查看审计历史 →

质量评分

架构

100

可维护性

内容

社区

100

安全

100

规范符合性

你能构建什么

بوابات أمان CI/CD

دمج فحص الحاويات في خطوط البناء مع حدود فشل مبنية على الشدة لمنع الصور المعرّضة للثغرات من الوصول إلى الإنتاج.

فرز الثغرات

ترتيب أولويات جهود الإصلاح باستخدام درجات CVSS واحتمالات EPSS ومؤشرات CISA KEV للتركيز على الثغرات المستغلة فعليًا.

فحوصات ما قبل النشر

فحص صور الحاويات المحلية قبل دفعها إلى السجلات لالتقاط الثغرات وإصلاحها مبكرًا ضمن دورة التطوير.

试试这些提示

فحص أساسي

كيف أفحص صورة Docker باستخدام Grype للعثور على الثغرات؟ أرني الأمر الأساسي واشرح كيفية تفسير تقييمات شدة المخرجات.

تكامل CI/CD

ساعدني في تهيئة سير عمل GitHub Actions يشغّل فحوصات ثغرات Grype ويفشل البناء إذا وُجدت ثغرات ذات شدة حرجة أو عالية.

تحديد أولويات المخاطر

اشرح كيفية تحديد أولويات ثغرات الحاويات باستخدام درجات CVSS واحتمال الاستغلال EPSS ومؤشرات CISA KEV. أرني تسلسل المعالجة الموصى به.

إنشاء التقارير

ولّد تقرير SARIF من نتائج فحص Grype يتكامل مع علامة تبويب GitHub Security. كما أظهر خيارات إخراج JSON لاستيعاب SIEM.

最佳实践

عيّن حدود فشل مناسبة لكل بيئة - حرجة للإنتاج، عالية للبيئة المرحلية، متوسطة لخطوط تطوير.
استخدم الفحص المعتمد على SBOM مع Syft لإعادة الفحص بسرعة أثناء التطوير دون إعادة تحليل طبقات صورة الحاوية كاملة في كل مرة.
وثّق جميع الثغرات المُستثناة مع مبرراتها وراجع تواريخ انتهاء الصلاحية للحفاظ على سجل تدقيق ومنع نسيان الاستثناءات.
ادمج إخراج SARIF مع GitHub Security أو لوحات الأمن لمتابعة مركزية للثغرات عبر جميع المشاريع.

避免

تجاهل الثغرات منخفضة الشدة دون تقييم - قد يشير بعضها إلى سوء تهيئة أمني أعمق أو حزم مهجورة.
استخدام قواعد تجاهل واسعة جدًا تخفي ثغرات شرعية عبر جميع الحزم بدل استهداف الإيجابيات الكاذبة المحددة.
فحص الصور الجديدة فقط أثناء النشر - أعد فحص صور الإنتاج أسبوعيًا لالتقاط CVEs الجديدة التي تؤثر على النشرات الحالية.
ضبط حدود الفشل مرتفعة جدًا (حرجة فقط) في CI/CD، مما يسمح لثغرات عالية الشدة بالوصول إلى بيئات الإنتاج.

常见问题

ما منصات الحاويات التي يدعمها Grype للفحص؟

يفحص Grype الصور من Docker و podman وسجلات OCI بما في ذلك ECR و GCR و Docker Hub. ويحلل توزيعات Alpine و Ubuntu و Red Hat و Debian وغيرها من توزيعات لينكس.

كم مرة يجب تحديث قاعدة بيانات الثغرات؟

شغّل grype db update قبل كل فحص أو على الأقل مرة يوميًا. تُنشر CVEs باستمرار، لذا تضمن التحديثات اليومية التقاط الإفصاحات الحديثة.

هل يمكنني استخدام Grype دون تثبيت Docker؟

نعم، يمكن لـ Grype فحص الأدلة، وملفات SBOM بصيغ Syft أو SPDX أو CycloneDX، والأرشيفات المحلية بصيغة tar. Docker مطلوب فقط لفحص صور الحاويات الحية.

كيف يتم التعامل مع بيانات الفحص الخاصة بي وإرسالها؟

يقوم Grype بتنزيل بيانات تعريف الثغرات من قواعد بيانات عامة مثل NVD و GitHub Advisory Database. لا يتم إرسال أي نتائج فحص إلى أي جهة ما لم تهيئ الإخراج صراحةً إلى أنظمة خارجية.

لماذا يُبلّغ Grype عن ثغرات في حزم لا أستخدمها؟

يفحص Grype جميع الحزم الموجودة في الصورة بما في ذلك التبعيات العابرة. استخدم العلم --only-fixed لعرض الثغرات التي تتوفر لها تصحيحات فقط، أو أنشئ قواعد تجاهل .grype.yaml للإيجابيات الكاذبة المؤكدة.

كيف يقارن Grype بغيره من ماسحات الحاويات مثل Trivy أو Snyk؟

Grype مفتوح المصدر وخفيف الوزن ويتكامل جيدًا مع أنظمة CI/CD. يوفر Trivy ميزات أكثر تكاملًا لفحص السجلات وخيارات تجارية. تستخدم الماسحات الثلاثة مصادر قواعد بيانات ثغرات متشابهة.