00:00:0087% образов на Docker Hub содержат критические или серьезные уязвимости.
00:00:04Так что, чисто статистически, тот образ, который вы собираетесь развернуть...
00:00:08Да, скорее всего, он где-то и как-то уязвим.
00:00:11И самое страшное, что вы этого не заметите, ведь всё по-прежнему собирается,
00:00:14всё по-прежнему работает. Пока в один момент не сломается.
00:00:16Это Trivi — инструмент с открытым кодом, который находит проблему за секунды без установки.
00:00:21У нас постоянно выходят новые видео, так что обязательно подпишитесь.
00:00:29Trivi взлетел на GitHub, набрав более 32 000 звезд, и его используют всё чаще с каждым днем.
00:00:34Можно было ожидать, что такой инструмент сканирует только контейнеры, но нет — он сканирует всё.
00:00:40Контейнеры, локальные файловые системы, Git-репозитории, Kubernetes, ошибки конфигурации — что угодно.
00:00:45Он даже стал сканером по умолчанию в GitLab.
00:00:48Это база инфраструктуры.
00:00:50И в ближайшие секунд тридцать я покажу вам, как применить его на деле.
00:00:53Он достаточно прост, чтобы действительно стать полезным.
00:00:56Итак, никакой установки. Единственное, что я сделал — это клонировал их Git-репозиторий,
00:01:00так как у них есть тестовые контейнеры, на которых можно быстро всё запустить.
00:01:04Единственное, что вам еще понадобится, — это запущенный Docker.
00:01:07Теперь в терминале VS Code мы просто вставляем эту строку, которую можно найти в документации.
00:01:12Вот и всё.
00:01:14Docker подтягивает Trivi, запускает его, сканирует официальный образ Nginx, и — бум.
00:01:21Если критические уязвимости есть, они тут же отобразятся прямо здесь.
00:01:26И именно здесь он начинает вас выручать, потому что в реальном конвейере (pipeline)
00:01:29вам нужен не просто отчет, а полная остановка программы.
00:01:32Если найдена критическая уязвимость, выдается код выхода 1,
00:01:36ваш пайплайн падает, и сборка блокируется.
00:01:39Вы могли думать, что инструменты безопасности только тормозят процесс, но Trivi меняет правила игры.
00:01:45Он ускоряет вас, предотвращая необходимость откатов в будущем.
00:01:49Круто, но сканирование контейнеров — это легкая часть.
00:01:51Настоящие проблемы обычно скрываются в том, что мы комитим сами.
00:01:54Контейнеры — это важно, но плохой код еще хуже.
00:01:57Давайте просканируем совершенно провальный Dockerfile.
00:01:59Опять же, он просто лежит в репозитории Trivi.
00:02:01Хорошо, перехожу в папку trivi-demo.
00:02:03Как видите, он ловит небезопасные методы и проблемы: уязвимые базовые образы,
00:02:07отсутствие директив пользователя, привилегированные настройки, устаревшие зависимости и прочее.
00:02:12Он всё это подсветит для нас.
00:02:14Это именно то, что нужно на этапе CI, — до слияния веток, а не после деплоя.
00:02:18Потому что если код попадет в main, он станет проблемой для всех.
00:02:22Теперь исправляем Dockerfile и запускаем снова.
00:02:24Всё чисто и готово к работе.
00:02:26И если вы думаете: «Ну, мой репозиторий огромный», — отлично.
00:02:30Именно в таких случаях инструмент наиболее полезен,
00:02:32и я скоро упомяну другие инструменты для сравнения.
00:02:35А теперь натравим его на весь репозиторий целиком.
00:02:38Сканирование файловой системы, зависимостей, конфигов — всего сразу.
00:02:41Поскольку я использую этот репо, проверим, всё ли в нем в порядке.
00:02:45Так где же этот инструмент применяется в повседневной жизни и как его используют?
00:02:50Можно подумать, что это инструмент для разовой проверки, но это не так.
00:02:54Trivi встраивается туда, где вы уже работаете.
00:02:56Для локальной разработки есть расширение VS Code, для CI — три строки в GitHub Actions.
00:03:02А если вы используете Kubernetes, Trivi Operator автоматически сканирует все нагрузки в кластере.
00:03:07Вам нужна всего одна команда в вашем пайплайне.
00:03:09Отчеты показывают, что атаки на цепочки поставок выросли более чем на 400%.
00:03:12Разработчики всегда были вовлечены в вопросы безопасности, и это очень помогает.
00:03:17Лучшие инструменты безопасности не тормозят вас, они блокируют проблемы на корню.
00:03:22Trivi показался мне очень крутым, но действительно ли он лучше остальных?
00:03:26Ведь конкуренты существуют.
00:03:26Давайте честно: есть и другие сканеры.
00:03:29Возможно, вы уже ими пользуетесь.
00:03:31Есть Grype, но он предназначен только для контейнеров.
00:03:34Есть Snyk, но он стоит денег.
00:03:37По этим причинам многие переходят на Trivi.
00:03:41Он быстрый и бесплатный.
00:03:42Он работает с контейнерами, секретами, SBOM, Kubernetes, файловыми системами и многим другим.
00:03:48Это своего рода универсальное решение «всё в одном».
00:03:50Если вы только узнали о нем или уже пробовали — что вы думаете о Trivi?
00:03:53Увидимся в следующем видео.