技能 container-grype

🛡️

container-grype

Name: container-grype
Author: AgentSecOps

安全 ⚙️ 外部命令🌐 網路存取🔑 環境變數📁 檔案系統存取

Сканируйте образы контейнеров на уязвимости с Grype

Образы контейнеров часто содержат известные уязвимости безопасности в пакетах операционной системы и зависимостях приложений. Этот скилл предоставляет пошаговые рабочие процессы для сканирования образов с Grype, интерпретации оценок CVSS, приоритизации на основе индикаторов CISA KEV и интеграции защитных ворот в конвейеры CI/CD.

支援: Claude Codex Code(CC)

🥈 77 白銀

下載技能 ZIP

在 Claude 中上傳

前往設定 → 功能 → 技能 → 上傳技能

開啟並開始使用

測試它

正在使用「container-grype」。 Scan myapp:latest Docker image for vulnerabilities and help me prioritize the fixes

預期結果:

Grype found 12 vulnerabilities in myapp:latest:
• 2 Critical (CVSS 9.0+) - CVE-2024-1234, CVE-2024-5678
• 3 High (CVSS 7.0-8.9) - Vulnerabilities in base image packages
• 5 Medium (CVSS 4.0-6.9) - Dependency vulnerabilities
• 2 Low (CVSS <4.0) - Informational findings
RECOMMENDED ACTION: Focus on Critical vulnerabilities first. CVE-2024-1234 appears in CISA KEV (actively exploited in the wild). Update alpine:3.14 base image to 3.19 or apply available security patches.

正在使用「container-grype」。 Configure a GitHub Actions workflow to scan images on every push with fail-on-critical

預期結果:

Here is a GitHub Actions workflow for Grype container scanning:
name: Container Security Scan
on: [push, pull_request]
jobs:
grype-scan:
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v4
- name: Build Docker image
run: docker build -t ${{ github.repository }}:${{ github.sha }} .
- name: Run Grype scan
uses: anchore/scan-action@v3
with:
image: ${{ github.repository }}:${{ github.sha }}
fail-build: true
severity-cutoff: critical

正在使用「container-grype」。 How do I prioritize which container vulnerabilities to fix first?

預期結果:

Recommended remediation priority order:
1. CISA KEV vulnerabilities (actively exploited in the wild) - fix immediately
2. High EPSS scores (>10%) - high probability of exploitation
3. CVSS Critical (9.0-10.0) - severe impact vulnerabilities
4. CVSS High (7.0-8.9) - significant security impact
5. CVSS Medium (4.0-6.9) - moderate impact, schedule remediation
6. CVSS Low (<4.0) - informational, address when time permits

安全審計

安全

v5 • 1/16/2026

Documentation-only skill containing markdown files and YAML configuration templates for the open-source Grype vulnerability scanner. All 332 static findings are false positives - the scanner flagged shell command examples (177), URL references (45), and environment variable patterns (27) in documentation as security issues. No executable code exists. This skill provides documentation and workflows for container vulnerability scanning but performs no actual scanning, network access, or file system operations beyond reading its own documentation files.

已掃描檔案

3,702

分析行數

發現項

審計總數

風險因素

⚙️ 外部命令 (5)

SKILL.md:42-307 assets/ci-config-template.yml:134-310 assets/grype-ci-config.yml:248-373 references/cisa_kev.md:55-86 references/vulnerability_remediation.md:27-476

🌐 網路存取 (4)

SKILL.md:19-21 SKILL.md:324-329 references/cvss_guide.md:208-210 references/cisa_kev.md:174-225

🔑 環境變數 (3)

assets/ci-config-template.yml:164 assets/rule-template.yaml:132-165 references/EXAMPLE.md:423-444

📁 檔案系統存取 (1)

assets/grype-config.yaml:89-107

審計者: claude 查看審計歷史 →

品質評分

架構

100

可維護性

內容

社群

100

安全

100

規範符合性

你能建構什麼

Защитные ворота CI/CD

Интегрируйте сканирование контейнеров в конвейеры сборки с порогами отказа по уровню критичности, чтобы блокировать уязвимые образы перед выпуском в продакшн.

Триаж уязвимостей

Приоритизируйте усилия по устранению с помощью оценок CVSS, вероятностей EPSS и индикаторов CISA KEV, чтобы сосредоточиться на активно эксплуатируемых уязвимостях.

Сканирование перед развертыванием

Сканируйте локальные образы контейнеров перед публикацией в реестры, чтобы рано обнаружить и устранить уязвимости в цикле разработки.

試試這些提示

Базовое сканирование

Как мне просканировать Docker-образ с Grype, чтобы найти уязвимости? Покажи базовую команду и объясни, как интерпретировать уровни критичности в выводе.

Интеграция CI/CD

Помоги настроить workflow GitHub Actions, который запускает сканирование уязвимостей Grype и проваливает сборку при обнаружении уязвимостей критического или высокого уровня.

Приоритизация риска

Объясни, как приоритизировать уязвимости контейнеров с помощью оценок CVSS, вероятности эксплуатации EPSS и индикаторов CISA KEV. Покажи рекомендуемую иерархию устранения.

Генерация отчета

Сгенерируй отчет SARIF из результатов сканирования Grype, который интегрируется с вкладкой GitHub Security. Также покажи варианты вывода JSON для загрузки в SIEM.

最佳實務

Устанавливайте пороги fail-on, соответствующие каждой среде — критический для продакшна, высокий для стейджинга, средний для конвейеров разработки.
Используйте сканирование на основе SBOM с Syft для более быстрых повторных сканов во время разработки без повторного анализа всех слоев образа контейнера каждый раз.
Документируйте все подавленные уязвимости с обоснованием и пересматривайте сроки истечения, чтобы сохранить аудит-трейл и предотвратить забытые исключения.
Интегрируйте вывод SARIF с GitHub Security или панелями безопасности для централизованного отслеживания уязвимостей по всем проектам.

避免

Игнорирование уязвимостей низкой критичности без оценки — некоторые могут указывать на более глубокие проблемы безопасности или устаревшие пакеты.
Использование слишком широких правил игнорирования, которые подавляют легитимные уязвимости во всех пакетах вместо точечного исключения конкретных ложных срабатываний.
Сканирование только новых образов при развертывании — пересканируйте продакшн-образы еженедельно, чтобы выявлять недавно раскрытые CVE, влияющие на существующие развертывания.
Установка слишком высоких порогов fail-on (только критические) в CI/CD, что позволяет уязвимостям высокой критичности попадать в продакшн-среды.

常見問題

Какие контейнерные платформы поддерживает Grype для сканирования?

Grype сканирует образы из Docker, podman, OCI реестров, включая ECR, GCR и Docker Hub. Он анализирует Alpine, Ubuntu, Red Hat, Debian и другие дистрибутивы Linux.

Как часто следует обновлять базу данных уязвимостей?

Запускайте grype db update перед каждым сканированием или как минимум один раз в день. Новые CVE публикуются постоянно, поэтому ежедневные обновления гарантируют, что вы поймаете недавние раскрытия.

Можно ли использовать Grype без установленного Docker?

Да, Grype может сканировать директории, файлы SBOM в форматах Syft, SPDX или CycloneDX, а также локальные tar-архивы. Docker требуется только для сканирования живых образов контейнеров.

Как обрабатываются и передаются данные моего сканирования?

Grype загружает метаданные уязвимостей из публичных баз данных, таких как NVD и GitHub Advisory Database. Никакие результаты сканирования никуда не передаются, если вы явно не настроите вывод в внешние системы.

Почему Grype сообщает об уязвимостях в пакетах, которые я не использую?

Grype сканирует все пакеты, присутствующие в образе, включая транзитивные зависимости. Используйте флаг --only-fixed, чтобы показывать только уязвимости с доступными патчами, или создайте правила игнорирования .grype.yaml для подтвержденных ложных срабатываний.

Как Grype сравнивается с другими сканерами контейнеров, такими как Trivy или Snyk?

Grype — опенсорсный, легковесный и хорошо интегрируется с системами CI/CD. Trivy предлагает более интегрированные возможности сканирования реестров и коммерческие опции. Все три сканера используют схожие источники баз данных уязвимостей.