镜像安全扫描
核心工具
# 使用 Trivy 扫描
trivy image nginx:latest
# 扫描本地镜像
trivy image my-app:v1
# 只显示高危漏洞
trivy image --severity HIGH,CRITICAL nginx
Docker Scout
# Docker Desktop 内置
docker scout cves nginx:latest
# 快速概览
docker scout quickview nginx:latest
扫描时机
1. 构建时扫描(CI/CD)
2. 推送前扫描(Registry)
3. 运行时扫描(定期检查)
小结
| 工具 | 说明 |
|---|---|
trivy | 开源扫描工具 |
docker scout | Docker 官方扫描 |
--severity | 过滤严重级别 |