- بواسطة x32x01 ||
أداة Trivy | كشف الثغرات الأمنية بسهولة ومن غير تعبلو بتشتغل في البرمجة، DevOps، أو حتى بتتعلم أمن معلومات، أكيد قابلتك مشكلة إنك مش عارف هل مشروعك آمن ولا فيه ثغرات
هنا بقى ييجي دور Trivy
أداة واحدة تقدر تكشفلك كمية رهيبة من المشاكل الأمنية في وقت قصير جدًا.
يعني إيه Trivy ؟
Trivy هي أداة مفتوحة المصدر من شركة Aqua Security، وظيفتها الأساسية إنها تعمل Vulnerability Scanning على أكتر من حاجة زي:
صور Docker
الحزم والمكتبات
مشاريع كاملة وملفات
مستودعات Git
أنظمة Kubernetes
كشف Secrets زي API Keys وباسوردات
ليه ناس كتير بتستخدم Trivy؟
Trivy مش مشهورة من فراغ، دي أهم مميزاتها 
سريعة جدًا في الفحص
سهلة الاستخدام ومفيش إعدادات معقدة
شغالة على Linux - Windows - Mac
متوافقة مع Docker و Kubernetes
تقرير واضح بمستويات الخطورة:
LOW - MEDIUM - HIGH - CRITICAL
تثبيت Trivy على Linux (Ubuntu / Kali)
أسهل طريقة Code:
sudo apt update
sudo apt install trivy -y Code:
wget https://github.com/aquasecurity/trivy/releases/download/v0.50.0/trivy_0.50.0_Linux-64bit.deb
sudo dpkg -i trivy_0.50.0_Linux-64bit.deb
أشهر استخدامات Trivy العملية
فحص صورة Docker
Code:
trivy image python:3.10
الأمر ده هيطلعلك:- الثغرات
- مستوى الخطورة
- اسم الحزمة المصابة
فحص ملفات ومجلد المشروع
Code:
trivy fs .- المكتبات
- إعدادات المشروع
- ملفات مش آمنة
فحص مستودع Git مباشر
trivy repo https://github.com/user/project فحص الثغرات + الأسرار (Secrets)
Code:
trivy fs --scanners vuln,secret .
مهم جدًا عشان تمنع تسريب API Keys أو Passwords. فحص Kubernetes Cluster
Code:
trivy k8s cluster
تقرير Trivy بيطلع فيه إيه؟
التقرير بيكون واضح وسهل وبيشمل:- نوع الثغرة
- اسم الحزمة أو المكتبة
- رقم CVE
- مستوى الخطورة
- النسخة الآمنة
- شرح مختصر للمشكلة
هل Trivy أداة اختراق؟
لا 
Trivy مش أداة هجوم، دي أداة دفاعية 100% هدفها:- تأمين التطبيقات
- فحص Docker Images قبل النشر
- كشف الثغرات أثناء التطوير
- حماية Kubernetes
أنسب أماكن استخدام Trivy
- DevSecOps
- CI/CD Pipelines
- فحص Docker Images
- تأمين مشاريع Open Source
- أمن السحابة
