aquasecurity / trivy

Problem: 开发者在构建Docker镜像后，需要快速检查其中是否存在已知的安全漏洞，避免将不安全的镜像部署到生产环境。

Solution: 在CI/CD流水线中集成Trivy，自动扫描新构建的容器镜像，检测操作系统包和依赖库中的CVE漏洞，并生成详细的报告。

Example: 在GitHub Actions工作流中添加Trivy扫描步骤：`docker run aquasec/trivy image your-image:tag`，当发现高危漏洞时自动失败构建。

Problem: 开发者在编写Terraform、Kubernetes YAML等基础设施代码时，容易引入安全配置错误，导致云环境存在安全风险。

Solution: 使用Trivy扫描IaC配置文件，自动识别不符合安全最佳实践的配置，如公开的S3存储桶、过度宽松的IAM策略等。

Example: 扫描Terraform目录：`trivy config ./terraform/`，检查Kubernetes清单：`trivy k8s --report summary cluster`。

Problem: 开发者可能无意中将API密钥、密码等敏感信息提交到Git仓库，造成严重的安全泄露。

Solution: 使用Trivy扫描本地代码仓库或远程Git仓库，检测硬编码的密钥、令牌等敏感信息，及时告警并修复。

Example: 扫描当前目录：`trivy fs .`，或直接扫描远程仓库：`trivy repo https://github.com/user/repo`。

Problem: 为了满足软件供应链安全要求，开发者需要为应用程序生成完整的软件物料清单（SBOM），列出所有依赖组件。

Solution: 使用Trivy扫描应用程序，自动识别所有操作系统包、编程语言依赖库，并生成标准格式的SBOM报告。

Example: 为容器镜像生成CycloneDX格式的SBOM：`trivy image --format cyclonedx your-image:tag`，用于安全审计和合规检查。