trivy.dev

是什么

Trivy 是 Aqua Security Software Ltd. 推出的开源一体化安全扫描器，采用 Apache-2.0 License。根据正文，它可用于发现 CVE 漏洞与 IaC 配置错误，扫描对象覆盖代码仓库、二进制制品、容器镜像、文件系统、rootfs、虚拟机镜像以及 Kubernetes 集群。它更偏向 DevSecOps 工具链中的基础扫描能力，而不是单纯的容器漏洞工具。

核心能力与部署集成

从防护类型看，Trivy 覆盖漏洞扫描、配置错误检测、密钥扫描、许可证检查和 SBOM 生成，适合在软件供应链安全、云原生安全和合规前置检查中使用。部署方式以开源工具为主，可嵌入 CI/CD；文档列出 GitHub Actions、CircleCI、Travis CI、GitLab CI、Bitbucket Pipelines、AWS CodePipeline、AWS Security Hub、Azure、Kubernetes、Kyverno、GitOps 等场景，集成面较广。正文还提到 Terraform、自定义 Rego 检查、Helm、CloudFormation、Docker 等 IaC/配置扫描路径，说明其策略扩展性较好。

定价与服务支持

定价方面，正文明确显示 Apache-2.0 许可，并有用户评价其“free and extremely easy to use”。因此 Trivy 的性价比很高，尤其适合希望降低安全扫描采购成本的团队。但抓取内容未提供商业订阅、SLA、企业支持、集中控制台或告警运营能力，服务支持评分不能过高。合规认证也未见明确披露。

优缺点与适合谁

优点是覆盖目标广、开源免费、社区认可度高，且在容器、Kubernetes、IaC、SBOM、密钥和许可证等云原生安全场景中较完整。缺点是正文更多强调扫描和集成能力，缺少集中管理、告警闭环、风险看板、组织级权限和合规报告等平台化信息。它适合开发者、安全工程师、平台团队、Kubernetes 团队和 CI/CD 流程中的自动化安全检测；若企业需要完整 CNAPP 或托管式风险运营平台，可能还需搭配其他商业产品。

中国访问与替代品

中国大陆访问情况正文未披露，判定为未知；支付方式也无信息。若网络访问 GitHub、镜像仓库或外部漏洞库受限，实际体验可能受环境影响。可对比或替代的工具包括 Clair、Grype、Anchore、Snyk、Checkov、Prisma Cloud 等，选择时应重点比较漏洞库更新、CI/CD 集成、Kubernetes 覆盖、告警闭环和企业支持。