เป็นกันไหมครับ? ที่หลังจากเพื่อนๆ สร้าง Images และอยากตรวจสอบว่ามี Vulner รึเปล่า? และอยาก Deliver งานให้มีความปลอดภัยตามมาตรฐานและสมบูรณ์ แต่ก็ไม่อยากเสียทรัพยากรไปกับเครื่องมือแพง ๆ แถมไม่แน่ใจว่าตัวไหนคือคำตอบ… ทุกคนมาถูกทางแล้วครับ! บทความนี้จะนำเสนอ Tools ที่มาอำนวยความสะดวกซึ่งมีชื่อว่า Trivy! — เจ้าตัวนี้คือเครื่องมือสแกนช่องโหว่ที่ใช้ง่ายสุด ๆ และมีประโยชน์กับ DevOps หรือคนทำงานสาย Cloud-Native บอกเลยว่าไม่มีติดไว้คือพลาด!
Trivy คืออะไร?
Trivy (“ทริวี่”) เป็นเครื่องมือ Open Source จาก Aqua Security ที่ช่วยสแกนหา Vulnerability (CVE) และ Misconfiguration (IaC) ใน Container Image, File System, Git Repository, Binary Artifacts, Kubernetes Cluster และ Cloud Infrastructure (เช่น AWS, GCP และ Azure) เรียกได้ว่า ถ้าเกี่ยวกับความปลอดภัย Trivy จัดให้ครบ!
จุดเด่นคือ เร็ว, แม่นยำ, ใช้งานง่าย และไม่ต้องตั้งค่าเยอะ ใช้ไม่กี่คำสั่งก็สแกนหาช่องโหว่ได้เลย แถมฟรีอีกต่างหาก!
ทำไมต้องใช้ Trivy?
🎯 ใช้งานง่าย ไม่ปวดหัว — ติดตั้งง่าย ไม่ต้องมานั่งงมหรือเซ็ตค่าเยอะ โหลดเสร็จใช้ได้ทันที!
🔍 สแกนได้หลายอย่าง —อย่างที่เกริ่นไปว่า ไม่ใช่แค่ Container Image นะ Trivy ยังสแกนไฟล์, Git repo, Kubernetes และแม้แต่ Cloud Infrastructure ก็ได้!
🚀 อัปเดตข้อมูลช่องโหว่ — ดึงข้อมูลจากแหล่งต่าง ๆ อย่าง NVD, Red Hat, Debian Security Advisories อัตโนมัติ หมดกังวลเรื่องฐานข้อมูลเก่า
🔄 รองรับ CI/CD Pipeline — ใช้ร่วมกับพวก Jenkins, GitHub Actions หรือ GitLab CI ได้แบบสบาย ๆ ใส่เข้าไปใน Workflow ให้มันสแกนอัตโนมัติได้เลย!
🛠 ติดตั้ง Trivy ง่าย ๆ
แค่พิมพ์คำสั่งนี้ก็ใช้ได้แล้ว!
บน macOS หรือ Linux:
หรือบน Docker:
สามารถอ่านรายละเอียดการติดตั้งแบบอื่นๆได้ที่ https://trivy.dev/latest/getting-started/installation/
🔍 สแกน Container Image
ถ้าอยากลองสแกนภาพ Docker ของ Nginx ก็แค่พิมพ์ว่า
แค่นี้ Trivy ก็จะโชว์รายการช่องโหว่ออกมาให้ดูเลย!
📁 สแกนไฟล์และไดเรกทอรี
อยากเช็คโปรเจกต์ของตัวเอง? ก็แค่ใช้
🌎 สแกน Kubernetes Cluster
สำหรับเพื่อน ๆ ที่ใช้ Kubernetes อยากรู้ว่า Cluster เราปลอดภัยมั้ย? ลองนี่เลย
มากไปกว่านั้นเรายังสามารถระบุให้แสกนแค่แต่ละ Namespace ได้
สุดท้ายนี้อยากฝากแนวคิดว่าถ้าเราเจอช่องโหว่ตั้งแต่ต้นทาง เราก็สามารถแก้ไขได้ก่อนที่ปัญหาจะลุกลาม ไม่ต้องรอให้ Production ล่ม ไม่ต้องมานั่งเครียดทีหลัง แถมยังช่วยให้การส่งมอบซอฟต์แวร์เป็นไปตามมาตรฐานความปลอดภัยอีกด้วย
โดยงานของเราจะปลอดภัยตั้งแต่วันแรก และทำงานแบบ “Shift Left Security” Trivy คือเครื่องมือที่ควรมีติดตัว! เพราะเรื่อง Security ไม่ใช่แค่เรื่องของทีม Security อีกต่อไป แต่มันคือเรื่องของทุกคนที่พัฒนาและดูแลระบบ
ถ้าใครลองใช้แล้วมีความคิดเห็นยังไงมาคอมเม้นต์พูดคุยกันได้นะครับ สำหรับ Tech Update ครั้งหน้าผมจะนำเรื่องราวอะไรมาพูดคุยกันอีก ฝากติดตามด้วยนะครับ บ๊ายบายย!
Reference: https://trivy.dev/
หากองค์กรท่านกำลังมองหาโซลูชันด้าน DevOps ช่วยปรับรูปแบบการทำงานให้เป็นอัตโนมัติ ลดต้นทุนการทำธุรกิจ SCB TechX พร้อมเป็นโซลูชันที่ช่วยพัฒนา และ Deliver ผลิตภัณฑ์และบริการออกสู่ตลาด ต่อยอดองค์กรของท่านให้เติบโตอย่างยั่งยืน สนใจบริการโปรดติดต่อเราที่ https://forms.office.com/r/P14E9tNGFD
