logo
Hjem
Learn

La oss være ærlige: å kjøre trivy image er ikke DevSecOps. Det er bare støyproduksjon.

Ekte sikkerhetsingeniørarbeid handler om signal-til-støy-forhold. Det handler om å bygge en pipeline som utviklerne dine respekterer, ikke en de jobber rundt. Denne guiden gir “produksjonsklare” konfigurasjoner for 17 industristandardverktøy for å stoppe sårbarheter uten å stoppe virksomheten.

Fase 1: Før-commit & Lokalt (Shift Left eller Gå Hjem)

Å fange problemer i CI er allerede for sent. Du har nettopp kastet bort datakreditter og en utviklers kontekstbytte-tid. Fang det på deres laptop.

1. Gitleaks (Hemmelighetsvokteren)

Ikke vær selskapet som lekker AWS-nøkler på GitHub.

De fleste kjører Gitleaks blindt. Proffene bruker Baselines.

  • --baseline-path: Den gyldne billetten. Kjør en fersk skanning, lagre utdataene. Nå varsler Gitleaks KUN om nye hemmeligheter.
  • --redact: Masker oppdagede hemmeligheter i utdata-loggene (prosent 0-100). Aldri dobbeltlekke.
  • --enable-rule: Fokuser på spesifikke hemmelighetstyper (f.eks. bare AWS-nøkler) etter ID.
  • --follow-symlinks: Ikke la hemmeligheter gjemme seg bak symlinks.
  • --ignore-gitleaks-allow: Ikke tillat bruk av inline “skip”-kommentarer. Håndhev reglene.
  • --max-target-megabytes: Unngå å skanne massive binære blobber.

2. Trufflehog (Bekrefteren)

Å finne en streng som ser ut som en nøkkel er én ting. Å sjekke om den fungerer er en annen.

Trufflehog skiller seg ut ved å verifisere legitimasjon mot leverandøren.

  • --no-verification: Raskere modus. Hopper over “live-sjekk” hvis du bare vil ha statisk analyse.
  • --results: Filtrer utdata etter verified (den virkelige faren) eller unknown.
  • --filter-entropy: Finn strenger med høy entropi (sannsynligvis passord) selv uten et regex-treff. Start med 3.0.
  • --detector-timeout: Begrens kjøretid per detektor for å forhindre at CI henger.
  • --archive-max-depth: Ikke bli sittende fast i nestede zip-bomber.

3. Opengrep (Rask statisk analyse)

Grep er død. Lenge leve strukturell søk.

Semgrep-kompatibel motor for å finne feil ved bruk av kode-mønstre, ikke bare strenger.

  • --baseline-commit: Avgjørende. Skann kun kode endret siden en spesifikk commit (Delta-skanning).
  • --config: Last inn egendefinerte regler fra YAML-begrensninger eller registeret.
  • --dataflow-traces: Vis hele banen for hvordan data beveger seg fra kilde til synk.
  • --exclude-minified-files: Hopp over .min.js og andre tette, ikke-menneskelige lesbare filer.
  • --strict: Feil byggingen hvis konfigurasjonen er ugyldig eller WARN-nivå feil oppstår.

4. Bandit (Python-sikkerhet)

Standard for Python AST-analyse.

  • -t / --tests: Kjør KUN spesifikke test-IDer (tillateliste).
  • -s / --skips: Hopp over spesifikke test-IDer (nekteliste).
  • --severity-level: Vis kun resultater >= low, medium eller high.
  • --confidence-level: Filtrer ut “gjetting”—vis kun funn med høy tillit.
  • --ignore-nosec: Se hva utviklere prøver å omgå ved å bruke # nosec.”

5. Dustilock (Avhengighetsforvirring)

Forhindre en angriper fra å injisere en ondsinnet privat pakke.

  • -a: Kun revisjon. Sjekk om du er sårbar for kapring av pakkenavn uten å stoppe pipelinen.

6. Hadolint (Docker Intelligence)

Dockerfilen din suger. Hadolint vet hvorfor.

  • --trusted-registry: Forsyningskjede sikkerhet. Tillat kun bilder fra internal.ecr.aws.
  • --strict-labels: Håndhev metadata standarder (f.eks., maintainer, cost-center).
  • --ignore: Stilne regler som ikke gjelder for din bygging.
  • --error / --warning: Ommapp regelalvorligheter for å matche din policy.
  • --require-label: Håndhev spesifikke labelformater (Regex).

7. TFLint (Terraform Logikk)

terraform validate er en syntakssjekk. TFLint er en logikksjekk.

  • --enable-plugin: Last inn leverandørspesifikke regler (f.eks., AWS, Azure) for å sjekke mot API-spesifikasjoner.
  • --minimum-failure-severity: Kontroller terskelen for byggbrudd (Feil, Advarsel, Merknad).
  • --call-module-type: Skann all, local eller none moduler.
  • --var-file: Injiser variabler for å evaluere betinget logikk nøyaktig.

Fase 2: CI-portvokterne (Stol på, men verifiser)

Dette er krigsrommet. Dyp analyse under byggeprosessen.

8. Trivy (Den Tunge Slageren)

Den sveitsiske lommekniven.

  • --ignore-unfixed: Obligatorisk. Hvis det ikke finnes en oppdatering, ikke stopp byggingen. Overvåk det.
  • --ignore-status: Filtrer ut sårbarheter med spesifikke statuser.
  • --pkg-types: Fokuser skanninger på os-pakker eller library-avhengigheter.
  • --offline-scan: Kjør i luftgapede miljøer.
  • --include-dev-deps: Ikke ignorer devDependencies—de kan fortsatt kompromittere byggeomgivelsene.
  • --list-all-pkgs: Utgi alt. Essensielt for å generere en komplett SBOM.

9. Syft (SBOM-generatoren)

Du kan ikke sikre det du ikke vet at du har.

  • --enrich: Legg til online metadata for rikere brukskontekst (Golang, Java, etc.).
  • -s / --scope: Skann alle lag (all-layers) eller bare det endelige bildet (squashed).
  • --select-catalogers: Målrett spesifikke pakkeforvaltere (npm, pip, apk).
  • --platform: Målrett spesifikke arkitekturer (f.eks. arm64).

10. Grype (SBOM-skanneren)

Tar stafettpinnen fra Syft.

  • -f / --fail-on: Stopp byggingen hvis alvorlighetsgrad >= medium, high, etc.
  • --only-fixed: Rapporter kun sårbarheter som kan håndteres.
  • --by-cve: Organiser utdata etter CVE-ID for sporing.
  • --ignore-states: Ignorer generiske “wontfix” eller “not-affected” statuser.

11. Checkov (IaC-styring)

Forhindre skyfeilkonfigurasjoner før de koster deg penger.

  • -s / --soft-fail: Advarsel, men ikke bryt. Best for “observasjonsmodus.”
  • --check / --skip-check: hvitlist eller svartlist spesifikke sjekker (CKV_AWS_1).
  • --skip-framework: Ignorer hele rammeverk (f.eks. skann Terraform, men hopp over CloudFormation).
  • --enable-secret-scan-all-files: Utvid hemmelighetsskanning utover standard konfigurasjonsfiler.
  • --block-list-secret-scan: Ekskluder spesifikke filer fra hemmelighetsskanneren.

12. KICS (Keeping IaC Secure)

Alternativet for bred IaC-dekning.

  • --exclude-queries: Fjern støy ved å filtrere ut spesifikke forespørsels-IDer.
  • --exclude-categories: Filtrer funn etter sikkerhetsdomene.
  • --fail-on: Definer hvilke alvorlighetsgrader som returnerer en ikke-null exit-kode.
  • --minimal-ui: Forenklet CLI-utgang for renere logger.
  • --disable-secrets: Slå av intern hemmelighetsskanning (bruk Gitleaks i stedet).

13. Terrascan (Policy-as-Code)

Spesialisert for multi-cloud policyhåndhevelse.

  • -i / --iac-type: Optimaliser ved å spesifisere plattformen (k8s, helm, terraform).
  • -t / --policy-type: Filtrer policyer etter leverandør (aws, azure, gcp).
  • --severity: Definer minimum alvorlighetsgrad å rapportere.
  • --non-recursive: Skann kun den nåværende katalogen.

14. OWASP Dependency-Check (Legacy & Compliance)

Den tunge løfteren for Java og .NET SCA.

  • --failOnCVSS: Avbryt byggingen hvis et bibliotek overskrider en CVSS-score (f.eks. 7.0).
  • --suppression: Bruk en XML-fil for å “dempe” kjente trygge sårbarheter (VEX-lite).
  • --enableExperimental: Bruk nye analysatorer for mindre vanlige språk.

15. DevSkim (Polyglot Hygiene)

Utvikler-sentrerte IDE- og CI-sjekker.

  • --rule-ids: Begrens analysen til spesifikke regler.
  • --ignore-globs: Bruk standard glob-mønstre for å hoppe over støyende filer.
  • --skip-git-ignored-files: Synkroniser automatisk med .gitignore.
  • --skip-excerpts: Hold rapportene små ved å fjerne kodeeksempler.

Fase 3: Kjøretid & Artefakter (Den Siste Linjen)

Skanning av det endelige artefaktet eller det levende miljøet.

16. Clamscan (Malware Defense)

Fordi noen ganger laster folk opp virus til S3-bøtta di.

  • --exclude / --exclude-dir: Hopp over fil-/katalogmønstre for å spare tid.
  • --detect-pua: Se etter “Potensielt Uønskede Applikasjoner” (adware, gruveprogrammer).
  • --detect-structured: Skann etter sensitive datamønstre som kredittkort/SSN-er.
  • --scan-pdf / --scan-html: Aktiver dyp inspeksjon for dokumenttyper.
  • --cross-fs: Tillat skanning på tvers av forskjellige filsystemer (bruk med forsiktighet).

17. Nuclei (The Hacker’s Knife)

Mallbasert skanning som føles ulovlig.

  • -t / --templates: Kjør spesifikke malfiler eller kataloger.
  • -tags: Målrett skanninger basert på teknologi (f.eks. wordpress, cve).
  • -s / --severity: Filtrer maler etter påvirkningsnivå.
  • -fr / --follow-redirects: Følg HTTP 301/302 omdirigeringer for å finne nyttelasten.
  • -passive: Skann ved å se på eksisterende overskrifter/responser uten å sende nye “angrep.”
  • -etags fuzz: Ekskluder fuzzing-maler i produksjon.

Sammendrag: Den “Perfekte” Pipeline

  1. Lokal: pre-commit kjører Gitleaks (grunnlinje), Trufflehog (verifisert), & Hadolint.
  2. Bygg: Trivy skanner avhengigheter (--ignore-unfixed). Syft genererer SBOM. Dependency-Check for samsvar.
  3. Test: Checkov & KICS skanner Terraform-plan. Opengrep sjekker kode mønstre.
  4. Artefakt: Clamscan sjekker den endelige binæren/eiendelene.
  5. Distribuer: Nuclei sanity sjekker den levende endepunktet.

Juster verktøyene dine, ellers vil de justere deg ut.

Plexicus gjorde alt det enklere

Med ett samlet dashbord, og tilgang til alle våre verktøyintegrasjoner, vil det bare ta noen få klikk Plexicus

Skrevet av
Rounded avatar
José Palanco
José Ramón Palanco er CEO/CTO for Plexicus, et pionerfirma innen ASPM (Application Security Posture Management) lansert i 2024, som tilbyr AI-drevne utbedringsmuligheter. Tidligere grunnla han Dinoflux i 2014, en Threat Intelligence startup som ble kjøpt opp av Telefonica, og har jobbet med 11paths siden 2018. Hans erfaring inkluderer roller ved Ericssons FoU-avdeling og Optenet (Allot). Han har en grad i telekommunikasjonsingeniør fra Universitetet i Alcala de Henares og en mastergrad i IT-styring fra Universitetet i Deusto. Som en anerkjent ekspert innen cybersikkerhet har han vært foredragsholder på ulike prestisjetunge konferanser inkludert OWASP, ROOTEDCON, ROOTCON, MALCON og FAQin. Hans bidrag til cybersikkerhetsfeltet inkluderer flere CVE-publikasjoner og utviklingen av ulike open source-verktøy som nmap-scada, ProtocolDetector, escan, pma, EKanalyzer, SCADA IDS og mer.
Les mer fra José
Del
PinnedCybersecurity

Plexicus går offentlig: AI-drevet sårbarhetsutbedring nå tilgjengelig

Plexicus lanserer AI-drevet sikkerhetsplattform for sanntids sårbarhetsutbedring. Autonome agenter oppdager, prioriterer og fikser trusler umiddelbart.

Vis mer
no/plexicus-goes-public-ai-driven-vulnerability-remediation-now-available-for-all
plexicus
Plexicus

Enhetlig CNAPP-leverandør

Automatisk bevisinnsamling
Sanntids samsvarsvurdering
Intelligent rapportering

Relaterte innlegg

Hvordan rulle ut sikkerhetsverktøy: 'Kryp, gå, løp'-rammeverket
Learn
devsecopscybersikkerhetsikkerhetsverktøy
Hvordan rulle ut sikkerhetsverktøy: 'Kryp, gå, løp'-rammeverket

Denne trinnvise tilnærmingen hjelper deg med å rulle ut sikkerhetsverktøy jevnt og holder byggeprosessene dine i gang. Tenk på det som en serie små skritt som beskytter leveransene dine, og sikrer en mer pålitelig og sikker utviklingsprosess.

November 26, 2025
Khul Anwar
Friksjonsfri sikkerhet: Integrering av verktøy i utviklerarbeidsflyten
Learn
devsecopscybersikkerhetsikkerhetsverktøy
Friksjonsfri sikkerhet: Integrering av verktøy i utviklerarbeidsflyten

Utvikleropplevelse (DevEx) er avgjørende når man velger sikkerhetsverktøy. Sikkerhet bør gjøre utviklerens jobb enklere, ikke vanskeligere. Hvis utviklere må forlate sitt kodemiljø eller bruke et annet dashbord for å finne problemer, bremser det dem ned og gjør dem mindre tilbøyelige til å bruke verktøyene.

November 26, 2025
Khul Anwar
DevSecOps-arsenalet: Null til helt
Learn
devsecopscybersikkerhetsikkerhetsverktøysårbarhetsstyringci-cd
DevSecOps-arsenalet: Null til helt

Å kjøre `trivy image` er ikke DevSecOps—det er støyproduksjon. Ekte sikkerhetsingeniørarbeid handler om signal-til-støy-forhold. Denne guiden gir produksjonsklare konfigurasjoner for 17 industristandardverktøy for å stoppe sårbarheter uten å stoppe virksomheten, organisert i tre faser: pre-commit, CI-portvakter og kjøretidsskanning.

January 12, 2026
José Palanco