Grype: Un escáner de vulnerabilidades para imágenes de contenedores y sistemas de archivos

Grype

Un escáner de vulnerabilidades para imágenes de contenedores y sistemas de archivos. Instale fácilmente el binario  para probarlo.

Características

  • Escanee el contenido de una imagen de contenedor o sistema de archivos para encontrar vulnerabilidades conocidas.
  • Encuentre vulnerabilidades para los principales paquetes de sistemas operativos
    • alpino
    • caja ocupada
    • CentOS/Red Hat
    • Debian
    • ubuntu
  • Encuentre vulnerabilidades para paquetes específicos de idioma
    • Rubí (Bundler)
    • Java (JAR, etc.)
    • JavaScript (NPM/Hilo)
    • Python (Huevo/Rueda)
    • Python pip/requirements.txt/setup.py listados
  • Admite formatos de imagen Docker y OCI

Registro de cambios v0.51

Corrección de errores

  • Grype no informa  CVE-2018-1270  [ vulnerabilidad #237 ]
  • Grype no reconoce la corrección de Debian para  CVE-2022-37434  [ vulnerabilidad #900 ]
  • grype no se puede usar, porque modifique el archivo de resultados json en formato syft CycloneDX. [ Número 953 ]

Usar

Para buscar vulnerabilidades en una imagen:

grype <imagen>

El comando anterior busca vulnerabilidades que sean visibles en el contenedor (es decir, la representación aplastada de la imagen). Para incluir software de todas las capas de la imagen en el análisis de vulnerabilidades, independientemente de su presencia en la imagen final, proporcione  –scope all-layers :

grype <imagen> --scope todas las capas

Grype puede escanear una variedad de fuentes más allá de las que se encuentran en Docker.

# scan a container image archive (from the result of `docker image save ...`, `podman save ...`, or `skopeo copy` commands)
grype path/to/image.tar

# scan a directory
grype dir:path/to/dir

El formato de salida para Grype también es configurable:

grype <imagen> -o <formato>

Donde los formatos disponibles son:

  • json : ¡Usa esto para obtener la mayor cantidad de información posible de Grype!
  • cyclonedx : Un informe XML conforme a la especificación CycloneDX 1.2.
  • tabla : un resumen en columnas (predeterminado).

Grype extrae una base de datos de vulnerabilidades derivadas del Anchore Feed Service disponible públicamente. Esta base de datos se actualiza al comienzo de cada escaneo, pero también se puede activar una actualización manualmente.

grype db update