技能 sca-trivy
🛡️

sca-trivy

安全 🌐 網路存取⚙️ 外部命令📁 檔案系統存取

컨테이너 및 종속성에 대한 취약점 스캔

수동 종속성 및 컨테이너 취약점 스캔에는 CVE 보고서를 해석하고 수정 우선순위를 결정하기 위한 상당한 보안 전문 지식이 필요합니다. 이 스킬은 CVE 식별, SBOM 생성, CI/CD 파이프라인에 보안 스캔 통합을 위한 표준화된 Trivy 워크플로를 제공합니다.

支援: Claude Codex Code(CC)
📊 71 充足
1

下載技能 ZIP

2

在 Claude 中上傳

前往 設定 → 功能 → 技能 → 上傳技能

3

開啟並開始使用

測試它

正在使用「sca-trivy」。 Scan nginx:latest for critical and high severity vulnerabilities

預期結果:

  • Critical: 3 vulnerabilities found
  • - CVE-2024-39338 (CVSS 9.8): PostgreSQL out-of-bounds write in libpq
  • - CVE-2024-4741 (CVSS 9.8): OpenSSL use after free in SSL_read
  • High: 7 vulnerabilities found
  • - CVE-2024-24786 (CVSS 7.5): Buffer overrun in Google ProtoBuf
  • Remediation: Update base image to nginx:1.25-alpine or later

正在使用「sca-trivy」。 Find vulnerabilities in my Node.js project dependencies

預期結果:

  • Scan results for ./package-lock.json:
  • MEDIUM: 12 vulnerabilities found
  • - CVE-2024-37890 (CVSS 7.5): Prototype pollution in package-name
  • - CVE-2024-21538 (CVSS 6.1): XSS vulnerability in dependency
  • Remediation: Run npm update to patch affected packages

正在使用「sca-trivy」。 Check Terraform files for security issues

預期結果:

  • IaC Misconfigurations in terraform/:
  • HIGH: 2 findings
  • - K8s privilege escalation: Deployment runs privileged container
  • - CIS benchmark: root user specified in container
  • MEDIUM: 4 findings
  • - Resource limits not specified
  • - Missing network policy

安全審計

安全
v5 • 1/16/2026

Documentation-only skill containing markdown guides for Trivy vulnerability scanner usage. No executable code present. This is a knowledge-base skill providing standardized workflows for identifying CVEs, generating SBOMs, and integrating security scanning into CI/CD pipelines. All 86 static findings are false positives - the analyzer misinterpreted documentation examples and legitimate security/compliance terminology as security threats.

2
已掃描檔案
640
分析行數
3
發現項
5
審計總數

風險因素

🌐 網路存取 (11)
skill-report.json:6 SKILL.md:20 SKILL.md:21 SKILL.md:22 SKILL.md:23 SKILL.md:452 SKILL.md:453 SKILL.md:454 SKILL.md:455 SKILL.md:456 SKILL.md:457
⚙️ 外部命令 (61)
SKILL.md:39-56 SKILL.md:56-64 SKILL.md:64-76 SKILL.md:76-88 SKILL.md:88-93 SKILL.md:93-101 SKILL.md:101-113 SKILL.md:113-124 SKILL.md:124-147 SKILL.md:147-151 SKILL.md:151-162 SKILL.md:162-164 SKILL.md:164-170 SKILL.md:170-179 SKILL.md:179-194 SKILL.md:194-223 SKILL.md:223-225 SKILL.md:225-226 SKILL.md:226-227 SKILL.md:227-228 SKILL.md:228-230 SKILL.md:230-232 SKILL.md:232-233 SKILL.md:233-234 SKILL.md:234-235 SKILL.md:235-237 SKILL.md:237-239 SKILL.md:239-240 SKILL.md:240-241 SKILL.md:241-242 SKILL.md:242-243 SKILL.md:243-251 SKILL.md:251-266 SKILL.md:266-272 SKILL.md:272-279 SKILL.md:279-285 SKILL.md:285-291 SKILL.md:291-302 SKILL.md:302-309 SKILL.md:309-315 SKILL.md:315-343 SKILL.md:343-344 SKILL.md:344-345 SKILL.md:345-347 SKILL.md:347-354 SKILL.md:354-355 SKILL.md:355-356 SKILL.md:356-357 SKILL.md:357-358 SKILL.md:358-369 SKILL.md:369-376 SKILL.md:376-388 SKILL.md:388-394 SKILL.md:394-396 SKILL.md:396-416 SKILL.md:416-418 SKILL.md:418-422 SKILL.md:422-424 SKILL.md:424-434 SKILL.md:434-440 SKILL.md:440-448
📁 檔案系統存取 (2)
SKILL.md:408 SKILL.md:81
審計者: claude 查看審計歷史 →

品質評分

38
架構
100
可維護性
87
內容
20
社群
100
安全
100
規範符合性

你能建構什麼

컨테이너 보안 평가

프로덕션에 배포하기 전에 컨테이너 이미지에 대한 포괄적인 스캔을 실행하여 심각한 취약점 식별

CI/CD 파이프라인 보안

SARIF 출력 및 보안 게이트와 함께 GitHub Actions 또는 GitLab CI 파이프라인에 취약점 스캔 통합

SBOM 문서화

규제 요구 사항을 충족하고 구성 요소 출처를 추적하기 위한 소프트웨어 재료 명세서 생성

試試這些提示

빠른 이미지 스캔 
Trivy를 사용하여 nginx:latest 컨테이너 이미지를 스캔하고 심각도 수준별로 결과 표시
종속성 감사 
Trivy 파일시스템 스캔을 실행하여 CVSS 점수가 7.0 이상인 취약한 종속성 식별
IaC 보안 스캔 
infrastructure/ 디렉토리의 Terraform 구성을 Trivy로 사용하여 보안 잘못된 구성 스캔
SBOM 생성 
내 애플리케이션에 대한 CycloneDX SBOM을 생성하고 Trivy를 사용하여 sbom.json에 저장

最佳實務

  • 프로덕션 환경에 배포하기 전에 CI/CD 파이프라인에서 Trivy 스캔 실행
  • 초기에 조치 가능한 결과에 집중하기 위해 심각도 필터링(CRITICAL,HIGH) 사용
  • 공급망 투명성 및 사고 대응을 위해 빌드 시간에 SBOM 생성

避免

  • 먼저 스테이징 환경에서 빌드 및 테스트하지 않고 프로덕션 이미지 스캔
  • .trivyignore에서 인정된 위험을 문서화하지 않고 오탐율 무시
  • 더 빠른 후속 스캔을 위해 취약점 데이터베이스를 캐싱하지 않고 스캔 실행

常見問題

Trivy가 종속성 스캔을 위해 지원하는 언어는 무엇입니까?
Trivy는 Go, Python, Node.js, Java, .NET, PHP, Ruby, Rust 및 패키지 매니페스트 파일을 통한 다양한 다른 언어를 지원합니다.
SARIF 출력에 필요한 최소 Trivy 버전은 무엇입니까?
Trivy v0.31.0 이상은 GitHub Security 탭 통합을 위한 SARIF 형식 출력을 지원합니다.
기존 CI/CD 파이프라인에 Trivy 스캔을 어떻게 통합합니까?
GitHub Actions에는 aquasecurity/trivy-action을 사용하거나 JSON 또는 SARIF 출력과 함께 모든 CI 시스템에서 직접 trivy CLI를 실행합니다.
스캔 데이터가 외부 서버로 전송되나요?
기본적으로 Trivy는 GitHub에서 취약점 데이터베이스를 다운로드하지만 스캔 결과는 로컬에 남아 있습니다. 격리 환경의 경우 오프라인 모드를 구성하세요.
스캔 결과에서 오탐이 많이 표시되는 이유는 무엇입니까?
오탐은 CVE가 다른 버전이나 컨텍스트에 적용될 때 발생합니다. 정당이 확인된 오탐을 억제하려면 정당화와 함께 .trivyignore 파일을 사용하세요.
Trivy는 Snyk나 OWASP Dependency-Check와 같은 다른 SCA 도구와 어떻게 비교됩니까?
Trivy는 오픈 소스이며 빠르고 컨테이너, IaC, 종속성을 모두 커버합니다. Snyk는 더 많은 통합을 제공하며, Dependency-Check는 더 넓은 언어 지원이 있지만 스캔이 느립니다.

開發者詳情

授權

MIT

儲存庫

https://github.com/AgentSecOps/SecOpsAgentKit/tree/main/skills/devsecops/sca-trivy

引用

main

檔案結構

📄 SKILL.md