news 2026/7/8 9:00:58

Grype:容器镜像漏洞扫描,一条命令搞定

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
Grype:容器镜像漏洞扫描,一条命令搞定

文章目录

  • Grype:容器镜像漏洞扫描,一条命令搞定
    • 这东西能扫什么
    • 用法有多简单
    • 凭什么它有优先级
    • 适合谁用

Grype:容器镜像漏洞扫描,一条命令搞定

做容器开发的同学应该都有体会:镜像拉下来跑得挺欢,但里面有没有漏?安的依赖有没有已知 CVE?一个个查太累,不查又心里没底。

Anchore 开源的 Grype 就是解决这个问题的。目前 GitHub 上 12,509 个 Star,属于容器安全领域的标配工具之一。

这东西能扫什么

Grype 的核心能力就两句话:扫镜像、扫目录,告诉你里面有没有已知漏洞。

支持的扫描对象挺全的:

  • 容器镜像(Docker、OCI 格式都行)
  • 本地文件系统
  • SBOM(软件物料清单)

操作系统层面,Alpine、Debian、Ubuntu、RHEL、Amazon Linux 这些主流发行版都支持。编程语言层面更广,Java、Python、Go、Rust、PHP、JavaScript、.NET 全囊括了。

用法有多简单

安装就一行命令:

curl -sSfL https://get.anchore.io/grype | sudo sh -s -- -b /usr/local/bin

扫一个镜像:

grype alpine:latest

扫一个项目目录:

grype ./my-project

如果你已经有 SBOM 文件,也可以直接喂给 Grype 扫,速度更快:

grype sbom:./sbom.json

没有复杂配置,装完就能用。

凭什么它有优先级

漏洞扫出来是一回事,怎么排序处理是另一回事。Grype 集成了 EPSS(漏洞利用预测评分系统)和 KEV(已知被利用漏洞目录),结合风险评分帮你判断哪些漏洞最该优先处理。

另外它还支持 OpenVEX 标准,可以过滤和补充扫描结果——也就是说,你可以在扫描结果里标记哪些漏洞已经被缓解了,下次扫的时候不会再报。

适合谁用

如果你自己搭 CI/CD 流程,Grype 可以嵌入 pipeline,每次构建自动扫一遍镜像。如果你在管生产环境的容器,也可以定期扫描运行中的镜像。

工具本身是 Apache-2.0 开源协议,不用考虑授权问题。Anchore 公司还在持续维护,社区也很活跃,定期有线上会议讨论功能走向。

整体来说,Grype 是个实在的工具:装得快、用得简单、结果清晰。容器安全这件事,有一个顺手的好工具,比什么都强。

整体来说,Grype 是个实在的工具:装得快、用得简单、结果清晰。容器安全这件事,有一个顺手的好工具,比什么都强。

版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/7/8 8:58:48

基于vLLM-Ascend的Qwen3.5-122B模型Atlas 800I A3单机混部部署实践

​作者​:昇腾实战派 ​知识地图​:https://blog.csdn.net/Lumos_Lovegood/article/details/161601003 背景概述 本文档将介绍基于vLLM-Ascend的Qwen3.5-122B模型在Atlas 800I A3上的单机混部部署实践,包括支持的特性、特性配置、环境信息以…

作者头像 李华
网站建设 2026/7/8 8:56:45

Java毕设选题推荐:基于 SpringBoot 的公务员备考数据统计分析系统的设计与实现 基于前后端分离的公考试题录入与维护系统【附源码、mysql、文档、调试+代码讲解+全bao等】

博主介绍:✌️码农一枚 ,专注于大学生项目实战开发、讲解和毕业🚢文撰写修改等。全栈领域优质创作者,博客之星、掘金/华为云/阿里云/InfoQ等平台优质作者、专注于Java、小程序技术领域和毕业项目实战 ✌️技术范围:&am…

作者头像 李华
网站建设 2026/7/8 8:56:17

鸿蒙游戏体验手册:四种能力从性能到玩法逐一解锁

在鸿蒙上玩游戏,体验远不止流畅——方舟引擎让光追渲染和超分画质同时提升,碰一碰让组队从发链接变成物理触碰,语音操控让策略游戏不用动手,3万款游戏和1000家厂商证明生态覆盖足够。四种能力叠加,从硬核性能到创新玩法…

作者头像 李华