logo
Hjem
Learn

Lad os være ærlige: at køre trivy image er ikke DevSecOps. Det er bare støjgenerering.

Ægte sikkerhedsteknik handler om signal-til-støj-forhold. Det handler om at bygge en pipeline, som dine udviklere respekterer, ikke en de arbejder udenom. Denne guide giver “produktionsklare” konfigurationer for 17 industristandardværktøjer til at stoppe sårbarheder uden at stoppe forretningen.

Fase 1: Pre-Commit & Lokal (Shift Left eller Gå Hjem)

At fange problemer i CI er allerede for sent. Du har lige spildt beregningskreditter og en udviklers kontekstskiftetid. Fang det på deres laptop.

1. Gitleaks (Hemmelighedsvogteren)

Vær ikke virksomheden, der lækker AWS-nøgler på GitHub.

De fleste kører Gitleaks blindt. De professionelle bruger Baselines.

  • --baseline-path: Den gyldne billet. Kør en frisk scanning, gem outputtet. Nu advarer Gitleaks KUN om nye hemmeligheder.
  • --redact: Maskér opdagede hemmeligheder i outputloggene (procent 0-100). Aldrig dobbeltlæk.
  • --enable-rule: Fokuser på specifikke hemmelighedstyper (f.eks. kun AWS-nøgler) efter ID.
  • --follow-symlinks: Lad ikke hemmeligheder gemme sig bag symlinks.
  • --ignore-gitleaks-allow: Tillad ikke brugen af inline “skip” kommentarer. Håndhæv reglerne.
  • --max-target-megabytes: Undgå at scanne massive binære blobs.

2. Trufflehog (Bekræfteren)

At finde en streng, der ligner en nøgle, er én ting. At tjekke om den virker, er en anden.

Trufflehog skiller sig ud ved at verificere legitimationsoplysninger mod udbyderen.

  • --no-verification: Hurtigere tilstand. Springer “live-check” over, hvis du kun ønsker statisk analyse.
  • --results: Filtrer output efter verified (den reelle fare) eller unknown.
  • --filter-entropy: Find høj-entropi strenge (sandsynligvis adgangskoder) selv uden et regex-match. Start med 3.0.
  • --detector-timeout: Begræns udførelsestid pr. detektor for at forhindre CI-hæng.
  • --archive-max-depth: Undgå at sidde fast i indlejrede zip-bomber.

3. Opengrep (Hurtig Statisk Analyse)

Grep er død. Længe leve strukturel søgning.

Semgrep-kompatibel motor til at finde fejl ved hjælp af kode mønstre, ikke kun strenge.

  • --baseline-commit: Vigtigt. Scan kun kode ændret siden en specifik commit (Delta Scanning).
  • --config: Indlæs brugerdefinerede regler fra YAML-begrænsninger eller registret.
  • --dataflow-traces: Vis den fulde sti af, hvordan data bevæger sig fra kilde til vask.
  • --exclude-minified-files: Spring .min.js og andre tætte, ikke-menneskeligt læsbare filer over.
  • --strict: Fejl i build, hvis konfigurationen er ugyldig eller WARN-niveau fejl opstår.

4. Bandit (Python Sikkerhed)

Standard for Python AST-analyse.

  • -t / --tests: Kør KUN specifikke test-ID’er (allowlist).
  • -s / --skips: Spring specifikke test-ID’er over (denylist).
  • --severity-level: Vis kun resultater >= low, medium eller high.
  • --confidence-level: Filtrer “gætteri” fra—vis kun høj-sikkerhedsfund.
  • --ignore-nosec: Se hvad udviklere forsøger at omgå ved hjælp af # nosec.”

5. Dustilock (Afhængighedsforvirring)

Forhindre en angriber i at injicere en ondsindet privat pakke.

  • -a: Kun audit. Tjek om du er sårbar over for pakkenavns kapring uden at stoppe pipelinen.

6. Hadolint (Docker Intelligens)

Din Dockerfile er dårlig. Hadolint ved hvorfor.

  • --trusted-registry: Forsyningskædesikkerhed. Tillad kun billeder fra internal.ecr.aws.
  • --strict-labels: Håndhæv metadata standarder (f.eks. maintainer, cost-center).
  • --ignore: Ignorer regler, der ikke gælder for dit build.
  • --error / --warning: Omlæg regel alvorligheder for at matche din politik.
  • --require-label: Håndhæv specifikke labelformater (Regex).

7. TFLint (Terraform Logik)

terraform validate er en syntakskontrol. TFLint er en logikkontrol.

  • --enable-plugin: Indlæs udbyderspecifikke regler (f.eks. AWS, Azure) for at tjekke mod API-specifikationer.
  • --minimum-failure-severity: Kontroller build-break tærsklen (Fejl, Advarsel, Meddelelse).
  • --call-module-type: Scan all, local eller none moduler.
  • --var-file: Indsæt variabler for at evaluere betinget logik nøjagtigt.

Fase 2: CI Gatekeepers (Tillid, men Verificer)

Dette er krigsrummet. Dybdegående analyse under build-processen.

8. Trivy (Den Tunge Slags)

Den Schweiziske Hærkniv.

  • --ignore-unfixed: Obligatorisk. Hvis der ikke er nogen patch, må buildet ikke fejle. Overvåg det.
  • --ignore-status: Filtrer sårbarheder med specifikke statusser fra.
  • --pkg-types: Fokuser scanninger på os-pakker eller library-afhængigheder.
  • --offline-scan: Kør i lufttætte miljøer.
  • --include-dev-deps: Ignorer ikke devDependencies—de kan stadig kompromittere build-miljøet.
  • --list-all-pkgs: Output alt. Væsentligt for at generere en komplet SBOM.

9. Syft (SBOM Generatoren)

Du kan ikke sikre, hvad du ikke ved, du har.

  • --enrich: Tilføj online metadata for en rigere brugskontekst (Golang, Java, etc.).
  • -s / --scope: Scan alle lag (all-layers) eller kun det endelige billede (squashed).
  • --select-catalogers: Målret specifikke pakkemanagere (npm, pip, apk).
  • --platform: Målret specifikke arkitekturer (f.eks. arm64).

10. Grype (SBOM Scanneren)

Tager stafetten fra Syft.

  • -f / --fail-on: Bryd buildet, hvis alvorlighed >= medium, high, etc.
  • --only-fixed: Rapportér kun sårbarheder, der kan handles på.
  • --by-cve: Organiser output efter CVE ID til sporing.
  • --ignore-states: Ignorer generiske “wontfix” eller “not-affected” statusser.

11. Checkov (IaC Governance)

Forhindre cloud-misconfigurations, før de koster dig penge.

  • -s / --soft-fail: Advarsel, men bryd ikke. Bedst til “observationsmodus.”
  • --check / --skip-check: hvidliste eller sortliste specifikke tjek (CKV_AWS_1).
  • --skip-framework: Ignorer hele frameworks (f.eks. scan Terraform men spring CloudFormation over).
  • --enable-secret-scan-all-files: Udvid hemmelighedsscanning ud over standard konfigurationsfiler.
  • --block-list-secret-scan: Ekskluder specifikke filer fra hemmelighedsscanneren.

12. KICS (Keeping IaC Secure)

Alternativet for bred IaC-dækning.

  • --exclude-queries: Fjern støj ved at filtrere specifikke forespørgsels-ID’er.
  • --exclude-categories: Filtrer fund efter sikkerhedsområde.
  • --fail-on: Definer hvilke alvorlighedsniveauer der returnerer en ikke-nul exit-kode.
  • --minimal-ui: Forenklet CLI-output for renere logfiler.
  • --disable-secrets: Slå intern hemmelighedsscanning fra (brug Gitleaks i stedet).

13. Terrascan (Policy-as-Code)

Specialiseret til multi-cloud politikhåndhævelse.

  • -i / --iac-type: Optimer ved at specificere platformen (k8s, helm, terraform).
  • -t / --policy-type: Filtrer politikker efter udbyder (aws, azure, gcp).
  • --severity: Definer den minimale alvorlighed der skal rapporteres.
  • --non-recursive: Scan kun den aktuelle mappe.

14. OWASP Dependency-Check (Legacy & Compliance)

Den tunge løfter for Java og .NET SCA.

  • --failOnCVSS: Stop build-processen, hvis et bibliotek overskrider en CVSS-score (f.eks. 7.0).
  • --suppression: Brug en XML-fil til at “dæmpe” kendte sikre sårbarheder (VEX-lite).
  • --enableExperimental: Brug nye analysatorer til mindre almindelige sprog.

15. DevSkim (Polyglot Hygiene)

Udvikler-centrerede IDE og CI kontroller.

  • --rule-ids: Begræns analysen til specifikke regler.
  • --ignore-globs: Brug standard glob-mønstre til at springe støjende filer over.
  • --skip-git-ignored-files: Synkroniser automatisk med .gitignore.
  • --skip-excerpts: Hold rapporter små ved at fjerne kodeeksempler.

Fase 3: Runtime & Artefakter (Den sidste linje)

Scanning af det endelige artefakt eller det levende miljø.

16. Clamscan (Malware Defense)

Fordi nogle gange uploader folk virus til din S3 bucket.

  • --exclude / --exclude-dir: Spring fil-/mønstre over for at spare tid.
  • --detect-pua: Kig efter “Potentielt Uønskede Applikationer” (adware, miners).
  • --detect-structured: Scan for mønstre af følsomme data som kreditkort/SSN’er.
  • --scan-pdf / --scan-html: Aktiver dybdegående inspektion for dokumenttyper.
  • --cross-fs: Tillad scanning på tværs af forskellige filsystemer (brug med forsigtighed).

17. Nuclei (The Hacker’s Knife)

Skabelonbaseret scanning, der føles ulovlig.

  • -t / --templates: Kør specifikke skabelonfiler eller -mapper.
  • -tags: Målret scanninger baseret på teknologi (f.eks. wordpress, cve).
  • -s / --severity: Filtrer skabeloner efter påvirkningsniveau.
  • -fr / --follow-redirects: Følg HTTP 301/302 omdirigeringer for at finde nyttelasten.
  • -passive: Scan ved at se på eksisterende headers/responser uden at sende nye “angreb.”
  • -etags fuzz: Ekskluder fuzzing-skabeloner i produktion.

Resumé: Den “Perfekte” Pipeline

  1. Lokal: pre-commit kører Gitleaks (baseline), Trufflehog (verificeret), & Hadolint.
  2. Build: Trivy scanner afhængigheder (--ignore-unfixed). Syft genererer SBOM. Dependency-Check for overholdelse.
  3. Test: Checkov & KICS scanner Terraform-plan. Opengrep tjekker kode mønstre.
  4. Artefakt: Clamscan tjekker den endelige binære/aktiver.
  5. Deploy: Nuclei sanity checker den live endpoint.

Tilpas dine værktøjer, ellers vil de tilpasse dig.

Plexicus gjorde alt det lettere

Med et samlet dashboard og adgang til alle vores værktøjsintegrationer, vil det kun tage et par klik Plexicus

Skrevet af
Rounded avatar
José Palanco
José Ramón Palanco er CEO/CTO for Plexicus, et banebrydende firma inden for ASPM (Application Security Posture Management), lanceret i 2024, som tilbyder AI-drevne afhjælpningsmuligheder. Tidligere grundlagde han Dinoflux i 2014, en Threat Intelligence startup, der blev opkøbt af Telefonica, og har arbejdet med 11paths siden 2018. Hans erfaring inkluderer roller i Ericssons R&D-afdeling og Optenet (Allot). Han har en grad i telekommunikationsingeniør fra University of Alcala de Henares og en master i IT Governance fra University of Deusto. Som en anerkendt cybersikkerhedsekspert har han været taler ved forskellige prestigefyldte konferencer, herunder OWASP, ROOTEDCON, ROOTCON, MALCON og FAQin. Hans bidrag til cybersikkerhedsområdet inkluderer flere CVE-publikationer og udviklingen af forskellige open source-værktøjer såsom nmap-scada, ProtocolDetector, escan, pma, EKanalyzer, SCADA IDS og mere.
Læs Mere fra José
Del
PinnedCybersecurity

Plexicus går offentligt: AI-drevet sårbarhedsafhjælpning nu tilgængelig

Plexicus lancerer AI-drevet sikkerhedsplatform til realtidsafhjælpning af sårbarheder. Autonome agenter opdager, prioriterer og løser trusler øjeblikkeligt.

Se Mere
da/plexicus-goes-public-ai-driven-vulnerability-remediation-now-available-for-all
plexicus
Plexicus

Unified CNAPP Leverandør

Automatiseret Bevisindsamling
Realtids Overholdelsesscore
Intelligent Rapportering

Relaterede indlæg

Skær støjen fra: Få dine sikkerhedsværktøjer til at fungere for dig
Learn
devsecopscybersikkerhedsikkerhedsværktøjer
Skær støjen fra: Få dine sikkerhedsværktøjer til at fungere for dig

Installation af et sikkerhedsværktøj er den nemme del. Den svære del begynder på 'Dag 2', når værktøjet rapporterer 5.000 nye sårbarheder. Denne guide fokuserer på sårbarhedsstyring: hvordan man filtrerer duplikerede advarsler, håndterer falske positiver og sporer de metrikker, der faktisk måler succes. Lær hvordan du går fra 'at finde fejl' til 'at løse risici' uden at overvælde dit team.

November 26, 2025
José Palanco
Sådan implementeres sikkerhedsværktøjer: 'Crawl, Walk, Run' rammeværk
Learn
devsecopscybersikkerhedsikkerhedsværktøjer
Sådan implementeres sikkerhedsværktøjer: 'Crawl, Walk, Run' rammeværk

Denne trin-for-trin tilgang hjælper dig med at implementere sikkerhedsværktøjer glat og holder dine builds kørende. Tænk på det som en række små skridt, der beskytter din levering, hvilket sikrer en mere pålidelig og sikker udviklingsproces.

November 26, 2025
Khul Anwar
DevSecOps Arsenal: Fra Begynder til Ekspert
Learn
devsecopscybersikkerhedsikkerhedsværktøjersårbarhedsstyringci-cd
DevSecOps Arsenal: Fra Begynder til Ekspert

At køre `trivy image` er ikke DevSecOps—det er støjgenerering. Ægte sikkerhedsteknik handler om signal-til-støj-forhold. Denne guide giver produktionsklare konfigurationer for 17 industristandardværktøjer til at stoppe sårbarheder uden at stoppe forretningen, organiseret i tre faser: før-commit, CI gatekeepers og runtime scanning.

January 12, 2026
José Palanco