Demande de devis

Scanner vos images Docker et Kubernetes avec Trivy

Publié le 15 juillet 2025

Sécurité
DevSecOps

La sécurité des conteneurs est cruciale pour toute infrastructure modernisée. Trivy est un scanner de vulnérabilités Open Source qui analyse les images Docker, les manifestes Kubernetes et plus encore, pour détecter les failles de sécurité et proposer des correctifs.

Prérequis

  • Docker installé (version ≥20.10)
  • Kubectl configuré pour votre cluster Kubernetes
  • CI/CD (GitLab CI, GitHub Actions, Jenkins…)

Installation de Trivy

sudo apt update && sudo apt install trivy -y

Scan d’une image Docker

trivy image myapp:latest
  • Résumé des vulnérabilités par sévérité (CRITICAL, HIGH, MEDIUM, LOW)
  • Détails et CVE associés

Intégration CI/CD

Exemple avec GitLab CI

stages:
  - scan

trivy_scan:
  stage: scan
  image: aquasec/trivy:latest
  script:
    - trivy image --exit-code 1 --severity CRITICAL,HIGH myapp:latest

Exemple avec GitHub Actions

name: trivy-scan
on: [push]
jobs:
  scan:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v2
      - name: Run Trivy scan
        uses: aquasec/trivy-action@v0.2.0
        with:
          image-ref: 'myapp:latest'
          severity: 'CRITICAL,HIGH'

Scan de manifestes Kubernetes

trivy k8s --ignore-unfixed --skip-dirs deploy/ --format table
  • Analyse des images référencées dans les YAML
  • Détection des vulnérabilités et des risques de configuration

Automatisation et reporting

  • Slack notifications via Webhook
  • Génération de rapports HTML/JSON
  • Gatekeeping : refus des builds en cas de vulnérabilités critiques

Bonnes pratiques

  • Mettre à jour fréquemment la base de données de vulnérabilités (trivy --download-db-only)
  • Scanner à chaque build et deployment
  • Surveiller les nouvelles CVE et corriger rapidement
  • Utiliser des policies avec OPA/Gatekeeper pour renforcer la sécurité

Avantages

  • Simple à installer et à utiliser
  • Supporte Docker, Kubernetes, fichiers système, Git, etc.
  • Rapide et léger
  • Communauté active et mises à jour régulières

Limites

  • Dépendance à la base de vulnérabilités de GitHub
  • Faux positifs possibles
  • Pas de remédiation automatique (nécessite scripts ou outils complémentaires)

Conclusion

Intégrer Trivy dans votre pipeline DevSecOps vous permet de détecter rapidement les vulnérabilités, de renforcer la sécurité de vos conteneurs et de réduire les risques avant déploiement en production.

Besoin d'aide sur ce sujet ?

Notre équipe d'experts est là pour vous accompagner dans vos projets.

Contactez-nous
Articles similaires qui pourraient vous intéresser
Mettre en place un cluster RabbitMQ haute disponibilité avec mirrored queues
Messaging
Infrastructure
Haute Disponibilité

Mettre en place un cluster RabbitMQ haute disponibilité avec mirrored queues

Guide avancé pour configurer un cluster RabbitMQ en haute disponibilité, utilisant mirrored queues et load balancing pour garantir la résilience de vos files de messages.

16/07/2025

Lire plus →

Adopter GitOps avec Argo CD pour gérer vos déploiements Kubernetes
Kubernetes
GitOps

Adopter GitOps avec Argo CD pour gérer vos déploiements Kubernetes

Apprenez à installer et configurer Argo CD pour adopter GitOps et automatiser le déploiement de vos applications Kubernetes de manière déclarative.

16/07/2025

Lire plus →

Mettre en place un cache HTTP inverse avec Varnish et Nginx
Performance
Proxy
Web

Mettre en place un cache HTTP inverse avec Varnish et Nginx

Guide complet pour configurer Nginx en front-end et Varnish comme reverse proxy cache afin d’accélérer la distribution de contenus web et réduire la charge serveur.

15/07/2025

Lire plus →