Trivy (Aqua Security) est un scanner de securite open-source tout-en-un, rapide et sans serveur : images conteneur, systemes de fichiers, depots Git, IaC (Terraform/K8s/Dockerfile), licences et secrets. Il detecte les vulnerabilites (CVE OS + dependances applicatives) et les misconfigurations, et genere des SBOM — un maillon central du DevSecOps shift-left et de la securisation de la chaine d'approvisionnement.
Cycle de livraison : Local → GitHub → CI/CD → Cloud
Local
GitHub
CI/CD
VPS
Articles approfondis
Article 1 / 5
Trivy : fondamentaux et architecture
Le modele mental indispensable pour exploiter Trivy sans le subir
Article 2 / 5
Installer et configurer Trivy (approche industrialisee)
Une mise en place reproductible, versionnee et prete pour la production
Article 3 / 5
Trivy dans une chaine CI/CD
Ou Trivy intervient dans le pipeline, et comment le rendre fiable
Article 4 / 5
Trivy en production : scalabilite et securite
Haute disponibilite, mise a l'echelle et durcissement
Article 5 / 5
Trivy : depannage et bonnes pratiques
Pieges recurrents, symptomes et principes qui evitent la dette
Resume des commandes essentielles
trivy image reg/app:1.2.0Scanner une image conteneurtrivy image --severity HIGH,CRITICAL --exit-code 1 IMGEchouer le build sur CVE gravetrivy fs --scanners vuln,secret,misconfig .Scanner le code/projettrivy config ./terraformScanner l'IaC (misconfig)trivy repo https://github.com/org/repoScanner un depottrivy k8s --report summary clusterScanner un cluster Kubernetestrivy image --format cyclonedx -o sbom.json IMGGenerer un SBOMtrivy image --ignore-unfixed IMGIgnorer les CVE sans correctiftrivy image --format sarif -o r.sarif IMGSortie SARIF (GitHub Security)trivy --cache-dir .cache image IMGCache de la base de vulnstrivy convert --format table r.jsonConvertir un rapport.trivyignoreAcceptation tracee de findings