container-grype
使用 Grype 扫描容器镜像漏洞
容器镜像通常包含操作系统包和应用程序依赖项中已知的安全漏洞。此技能提供使用 Grype 扫描镜像、解读 CVSS 评分、基于 CISA KEV 指标进行优先级排序、以及将安全门禁集成到 CI/CD 流水线的引导式工作流程。
스킬 ZIP 다운로드
Claude에서 업로드
설정 → 기능 → 스킬 → 스킬 업로드로 이동
토글을 켜고 사용 시작
테스트해 보기
"container-grype" 사용 중입니다. 扫描 myapp:latest Docker 镜像的漏洞并帮助我确定修复优先级
예상 결과:
- Grype 在 myapp:latest 中发现了 12 个漏洞:
- • 2 个严重 (CVSS 9.0+) - CVE-2024-1234, CVE-2024-5678
- • 3 个高 (CVSS 7.0-8.9) - 基础镜像包中的漏洞
- • 5 个中 (CVSS 4.0-6.9) - 依赖项漏洞
- • 2 个低 (CVSS <4.0) - 信息性发现
- 建议操作:首先关注严重漏洞。CVE-2024-1234 出现在 CISA KEV 中(正在被野外利用)。将 alpine:3.14 基础镜像更新到 3.19 或应用可用的安全补丁。
"container-grype" 사용 중입니다. 配置 GitHub Actions 工作流以在每次推送时扫描镜像并设置 fail-on-critical
예상 결과:
- 以下是用于 Grype 容器扫描的 GitHub Actions 工作流:
- name: Container Security Scan
- on: [push, pull_request]
- jobs:
- grype-scan:
- runs-on: ubuntu-latest
- steps:
- - uses: actions/checkout@v4
- - name: Build Docker image
- run: docker build -t ${{ github.repository }}:${{ github.sha }} .
- - name: Run Grype scan
- uses: anchore/scan-action@v3
- with:
- image: ${{ github.repository }}:${{ github.sha }}
- fail-build: true
- severity-cutoff: critical
"container-grype" 사용 중입니다. 如何确定应首先修复哪些容器漏洞?
예상 결과:
- 推荐的修复优先级顺序:
- 1. CISA KEV 漏洞(正在被野外利用)- 立即修复
- 2. 高 EPSS 分数(>10%)- 高漏洞利用概率
- 3. CVSS 严重 (9.0-10.0) - 严重影响漏洞
- 4. CVSS 高 (7.0-8.9) - 重大安全影响
- 5. CVSS 中 (4.0-6.9) - 中等影响,安排修复
- 6. CVSS 低 (<4.0) - 信息性,有空时处理
보안 감사
안전Documentation-only skill containing markdown files and YAML configuration templates for the open-source Grype vulnerability scanner. All 332 static findings are false positives - the scanner flagged shell command examples (177), URL references (45), and environment variable patterns (27) in documentation as security issues. No executable code exists. This skill provides documentation and workflows for container vulnerability scanning but performs no actual scanning, network access, or file system operations beyond reading its own documentation files.
위험 요인
⚙️ 외부 명령어 (5)
🌐 네트워크 접근 (4)
🔑 환경 변수 (3)
📁 파일 시스템 액세스 (1)
품질 점수
만들 수 있는 것
CI/CD 安全门禁
将容器扫描集成到构建流水线中,使用基于严重性的失败阈值阻止存在漏洞的镜像到达生产环境。
漏洞分类
使用 CVSS 评分、EPSS 概率和 CISA KEV 指标确定修复工作的优先级,以重点关注正在被利用的漏洞。
部署前扫描
在将本地容器镜像推送到镜像仓库之前进行扫描,以便在开发周期早期发现并修复漏洞。
이 프롬프트를 사용해 보세요
如何使用 Grype 扫描 Docker 镜像以查找漏洞?向我展示基本命令并解释如何解读输出严重性评级。
帮助我配置一个 GitHub Actions 工作流,用于运行 Grype 漏洞扫描,并在发现严重或高严重性漏洞时使构建失败。
解释如何使用 CVSS 评分、EPSS 漏洞利用概率和 CISA KEV 指标来确定容器漏洞的优先级。向我展示推荐的修复层级。
从 Grype 扫描结果生成 SARIF 报告,以便与 GitHub Security 选项卡集成。同时展示用于 SIEM 摄取的 JSON 输出选项。
모범 사례
- 为每个环境设置适当的失败阈值 - 生产环境使用严重,高用于预发布,中用于开发流水线。
- 使用基于 SBOM 的扫描与 Syft 配合,在开发过程中进行更快的重新扫描,而无需每次都重新分析完整的容器镜像层。
- 记录所有被忽略的漏洞,包括理由和审查截止日期,以维护审计跟踪并防止遗忘的例外情况。
- 将 SARIF 输出与 GitHub Security 或安全仪表板集成,以实现跨所有项目的集中漏洞跟踪。
피하기
- 未经评估就忽略低严重性漏洞 - 某些可能表明更深层的安全配置错误或已弃用的包。
- 使用过于宽泛的忽略规则,抑制所有包中的合法漏洞,而不是针对特定的误报。
- 仅在部署时扫描新镜像 - 每周重新扫描生产镜像,以捕获影响现有部署的新披露 CVE。
- 在 CI/CD 中将失败阈值设置过高(仅严重),导致高严重性漏洞到达生产环境。