logo
Home
Learn

Diciamolo chiaramente: eseguire trivy image non è DevSecOps. È solo generazione di rumore.

La vera ingegneria della sicurezza riguarda il rapporto segnale-rumore. Si tratta di costruire una pipeline che i tuoi sviluppatori rispettano, non una che cercano di aggirare. Questa guida fornisce le configurazioni “di livello produttivo” per 17 strumenti standard del settore per fermare le vulnerabilità senza fermare il business.

Fase 1: Pre-Commit & Locale (Shift Left o Vai a Casa)

Individuare i problemi in CI è già troppo tardi. Hai appena sprecato crediti di calcolo e il tempo di cambio di contesto di uno sviluppatore. Individua il problema sul loro laptop.

1. Gitleaks (Il Custode dei Segreti)

Non essere l’azienda che perde le chiavi AWS su GitHub.

La maggior parte delle persone esegue Gitleaks alla cieca. I professionisti usano Baselines.

  • --baseline-path: Il biglietto d’oro. Esegui una scansione fresca, salva l’output. Ora Gitleaks avvisa SOLO sui nuovi segreti.
  • --redact: Maschera i segreti scoperti nei log di output (percentuale 0-100). Mai doppia perdita.
  • --enable-rule: Concentrati su tipi specifici di segreti (ad esempio, solo chiavi AWS) tramite ID.
  • --follow-symlinks: Non lasciare che i segreti si nascondano dietro i symlink.
  • --ignore-gitleaks-allow: Non consentire l’uso di commenti “skip” inline. Applica le regole.
  • --max-target-megabytes: Evita di scansionare enormi blob binari.

2. Trufflehog (Il Verificatore)

Trovare una stringa che sembra una chiave è una cosa. Verificare se funziona è un’altra.

Trufflehog si distingue per verificare le credenziali con il provider.

  • --no-verification: Modalità più veloce. Salta il “controllo dal vivo” se desideri solo un’analisi statica.
  • --results: Filtra l’output per verified (il vero pericolo) o unknown.
  • --filter-entropy: Trova stringhe ad alta entropia (probabilmente password) anche senza una corrispondenza regex. Inizia con 3.0.
  • --detector-timeout: Limita il tempo di esecuzione per rilevatore per prevenire blocchi CI.
  • --archive-max-depth: Non rimanere bloccato in zip-bomb annidate.

3. Opengrep (Analisi Statica Veloce)

Grep è morto. Lunga vita alla ricerca strutturale.

Motore compatibile con Semgrep per trovare bug utilizzando modelli di codice, non solo stringhe.

  • --baseline-commit: Cruciale. Scansiona solo il codice modificato da un commit specifico (Scansione Delta).
  • --config: Carica regole personalizzate da limiti YAML o dal registro.
  • --dataflow-traces: Mostra il percorso completo di come i dati si muovono dalla sorgente al sink.
  • --exclude-minified-files: Salta .min.js e altri file densi, non leggibili dall’uomo.
  • --strict: Fallisce la build se la configurazione è invalida o si verificano errori di livello WARN.

4. Bandit (Sicurezza Python)

Lo standard per l’analisi AST di Python.

  • -t / --tests: Esegui SOLO ID di test specifici (lista bianca).
  • -s / --skips: Salta ID di test specifici (lista nera).
  • --severity-level: Mostra solo risultati >= low, medium o high.
  • --confidence-level: Filtra “congetture”—mostra solo risultati ad alta fiducia.
  • --ignore-nosec: Vedi cosa gli sviluppatori stanno cercando di bypassare usando # nosec.”

5. Dustilock (Confusione delle Dipendenze)

Impedisci a un attaccante di iniettare un pacchetto privato dannoso.

  • -a: Solo audit. Verifica se sei vulnerabile al dirottamento del nome del pacchetto senza fermare la pipeline.

6. Hadolint (Intelligenza Docker)

Il tuo Dockerfile fa schifo. Hadolint sa perché.

  • --trusted-registry: Sicurezza della catena di approvvigionamento. Consenti solo immagini da internal.ecr.aws.
  • --strict-labels: Imporre standard di metadati (ad es., maintainer, cost-center).
  • --ignore: Silenzia le regole che non si applicano alla tua build.
  • --error / --warning: Rimappa le severità delle regole per adattarle alla tua politica.
  • --require-label: Imporre formati specifici di etichette (Regex).

7. TFLint (Logica Terraform)

terraform validate è un controllo sintattico. TFLint è un controllo logico.

  • --enable-plugin: Carica regole specifiche del provider (ad es., AWS, Azure) per verificare le specifiche API.
  • --minimum-failure-severity: Controlla la soglia di interruzione della build (Errore, Avviso, Notifica).
  • --call-module-type: Scansiona moduli all, local, o none.
  • --var-file: Inietta variabili per valutare accuratamente la logica condizionale.

Fase 2: I Guardiani del CI (Fidati, ma Verifica)

Questa è la sala operativa. Analisi approfondita durante il processo di build.

8. Trivy (Il Pesante)

Il coltellino svizzero.

  • --ignore-unfixed: Obbligatorio. Se non c’è una patch, non interrompere la build. Monitoralo.
  • --ignore-status: Filtra le vulnerabilità con stati specifici.
  • --pkg-types: Concentrati su pacchetti os o dipendenze library.
  • --offline-scan: Esegui in ambienti isolati dalla rete.
  • --include-dev-deps: Non ignorare devDependencies—possono comunque compromettere l’ambiente di build.
  • --list-all-pkgs: Output completo. Essenziale per generare un SBOM completo.

9. Syft (Il Generatore di SBOM)

Non puoi proteggere ciò che non sai di avere.

  • --enrich: Aggiungi metadati online per un contesto d’uso più ricco (Golang, Java, ecc.).
  • -s / --scope: Scansiona tutti i livelli (all-layers) o solo l’immagine finale (squashed).
  • --select-catalogers: Target specifici gestori di pacchetti (npm, pip, apk).
  • --platform: Target specifiche architetture (es. arm64).

10. Grype (Lo Scanner di SBOM)

Prende il testimone da Syft.

  • -f / --fail-on: Interrompi la build se la gravità è >= medium, high, ecc.
  • --only-fixed: Riporta solo le vulnerabilità che sono azionabili.
  • --by-cve: Organizza l’output per ID CVE per il tracciamento.
  • --ignore-states: Ignora stati generici “wontfix” o “not-affected”.

11. Checkov (Governance IaC)

Previeni le configurazioni errate del cloud prima che ti costino denaro.

  • -s / --soft-fail: Avvisa ma non interrompere. Ideale per la “modalità osservazione.”
  • --check / --skip-check: lista bianca o lista nera di controlli specifici (CKV_AWS_1).
  • --skip-framework: Ignora interi framework (ad esempio, scansiona Terraform ma salta CloudFormation).
  • --enable-secret-scan-all-files: Estendi la scansione dei segreti oltre i file di configurazione standard.
  • --block-list-secret-scan: Escludi file specifici dallo scanner di segreti.

12. KICS (Keeping IaC Secure)

L’alternativa per una copertura ampia di IaC.

  • --exclude-queries: Riduci il rumore filtrando ID di query specifici.
  • --exclude-categories: Filtra i risultati per dominio di sicurezza.
  • --fail-on: Definisci quali livelli di gravità restituiscono un codice di uscita diverso da zero.
  • --minimal-ui: Output CLI semplificato per log più puliti.
  • --disable-secrets: Disattiva la scansione interna dei segreti (usa Gitleaks invece).

13. Terrascan (Policy-as-Code)

Specializzato per l’applicazione di politiche multi-cloud.

  • -i / --iac-type: Ottimizza specificando la piattaforma (k8s, helm, terraform).
  • -t / --policy-type: Filtra le politiche per provider (aws, azure, gcp).
  • --severity: Definisci la gravità minima da segnalare.
  • --non-recursive: Scansiona solo la directory corrente.

14. OWASP Dependency-Check (Legacy & Compliance)

Il peso massimo per Java e .NET SCA.

  • --failOnCVSS: Interrompi la build se una qualsiasi libreria supera un punteggio CVSS (ad es., 7.0).
  • --suppression: Utilizza un file XML per “silenziare” vulnerabilità note sicure (VEX-lite).
  • --enableExperimental: Usa nuovi analizzatori per linguaggi meno comuni.

15. DevSkim (Igiene Poliglotta)

Controlli IDE e CI centrati sullo sviluppatore.

  • --rule-ids: Limita l’analisi a regole specifiche.
  • --ignore-globs: Usa modelli glob standard per saltare file rumorosi.
  • --skip-git-ignored-files: Sincronizza automaticamente con .gitignore.
  • --skip-excerpts: Mantieni i report piccoli rimuovendo i campioni di codice.

Fase 3: Runtime & Artifacts (L’Ultima Linea)

Scansione dell’artefatto finale o dell’ambiente live.

16. Clamscan (Difesa Malware)

Perché a volte le persone caricano virus nel tuo bucket S3.

  • --exclude / --exclude-dir: Salta modelli di file/directory per risparmiare tempo.
  • --detect-pua: Cerca “Applicazioni Potenzialmente Indesiderate” (adware, miner).
  • --detect-structured: Scansiona per modelli di dati sensibili come Carte di Credito/SSN.
  • --scan-pdf / --scan-html: Abilita l’ispezione approfondita per tipi di documenti.
  • --cross-fs: Consenti la scansione su diversi filesystem (usare con cautela).

17. Nuclei (Il Coltello dell’Hacker)

Scansione templata che sembra illegale.

  • -t / --templates: Esegui file o directory di modelli specifici.
  • -tags: Scansioni mirate basate sulla tecnologia (ad es., wordpress, cve).
  • -s / --severity: Filtra i modelli per livello di impatto.
  • -fr / --follow-redirects: Segui i reindirizzamenti HTTP 301/302 per trovare il payload.
  • -passive: Scansiona osservando intestazioni/risposte esistenti senza inviare nuovi “attacchi”.
  • -etags fuzz: Escludi i modelli di fuzzing in produzione.

Sommario: La Pipeline “Perfetta”

  1. Locale: pre-commit esegue Gitleaks (baseline), Trufflehog (verificato) e Hadolint.
  2. Build: Trivy scansiona le dipendenze (--ignore-unfixed). Syft genera SBOM. Dependency-Check per la conformità.
  3. Test: Checkov e KICS scansionano il piano Terraform. Opengrep controlla i modelli di codice.
  4. Artifact: Clamscan controlla il binario finale/asset.
  5. Deploy: Nuclei verifica la sanità dell’endpoint attivo.

Affina i tuoi strumenti, o saranno loro ad affinare te.

Plexicus ha reso tutto più facile

Con un’unica dashboard unificata e accesso a tutte le nostre integrazioni di strumenti, ci vorranno solo pochi clic Plexicus

Scritto da
Rounded avatar
José Palanco
José Ramón Palanco è il CEO/CTO di Plexicus, un'azienda pionieristica nell'ASPM (Application Security Posture Management) lanciata nel 2024, che offre capacità di rimedio basate sull'intelligenza artificiale. In precedenza, ha fondato Dinoflux nel 2014, una startup di Threat Intelligence acquisita da Telefonica, e lavora con 11paths dal 2018. La sua esperienza include ruoli nel dipartimento di R&D di Ericsson e in Optenet (Allot). Ha conseguito una laurea in Ingegneria delle Telecomunicazioni presso l'Università di Alcalá de Henares e un Master in IT Governance presso l'Università di Deusto. Riconosciuto esperto di cybersecurity, è stato relatore in varie conferenze prestigiose tra cui OWASP, ROOTEDCON, ROOTCON, MALCON e FAQin. I suoi contributi al campo della cybersecurity includono numerose pubblicazioni CVE e lo sviluppo di vari strumenti open source come nmap-scada, ProtocolDetector, escan, pma, EKanalyzer, SCADA IDS e altri.
Leggi di più da José
Condividi
PinnedCybersecurity

Plexicus diventa pubblico: Rimedi di vulnerabilità guidati dall'IA ora disponibili

Plexicus lancia una piattaforma di sicurezza guidata dall'IA per la rimedi di vulnerabilità in tempo reale. Agenti autonomi rilevano, prioritizzano e risolvono le minacce istantaneamente.

Visualizza di più
it/plexicus-goes-public-ai-driven-vulnerability-remediation-now-available-for-all
plexicus
Plexicus

Fornitore Unificato CNAPP

Raccolta Automatica di Prove
Valutazione della Conformità in Tempo Reale
Reportistica Intelligente

Articoli correlati

Come Implementare Strumenti di Sicurezza: Il Framework 'Crawl, Walk, Run'
Learn
devsecopscybersicurezzastrumenti di sicurezza
Come Implementare Strumenti di Sicurezza: Il Framework 'Crawl, Walk, Run'

Questo approccio passo-passo ti aiuta a implementare gli strumenti di sicurezza senza intoppi e mantiene i tuoi build operativi. Pensalo come una serie di piccoli passi che proteggono la tua distribuzione, garantendo un processo di sviluppo più affidabile e sicuro.

November 26, 2025
Khul Anwar
L'Arsenale DevSecOps: Da Zero a Eroe
Learn
devsecopscybersicurezzastrumenti di sicurezzagestione delle vulnerabilitàci-cd
L'Arsenale DevSecOps: Da Zero a Eroe

Eseguire `trivy image` non è DevSecOps8è generazione di rumore. La vera ingegneria della sicurezza riguarda il rapporto segnale-rumore. Questa guida fornisce configurazioni di livello produttivo per 17 strumenti standard del settore per fermare le vulnerabilità senza fermare il business, organizzate in tre fasi: pre-commit, gatekeeper CI e scansione runtime.

January 12, 2026
José Palanco
Taglia il Rumore: Fai Funzionare Davvero i Tuoi Strumenti di Sicurezza
Learn
devsecopscybersicurezzastrumenti di sicurezza
Taglia il Rumore: Fai Funzionare Davvero i Tuoi Strumenti di Sicurezza

Installare uno strumento di sicurezza è la parte facile. La parte difficile inizia il 'Giorno 2', quando quello strumento segnala 5.000 nuove vulnerabilità. Questa guida si concentra sulla gestione delle vulnerabilità: come filtrare gli avvisi duplicati, gestire i falsi positivi e monitorare le metriche che misurano effettivamente il successo. Scopri come passare dal 'trovare bug' al 'risolvere rischi' senza sopraffare il tuo team.

November 26, 2025
José Palanco