Go可通过exec.Command调用Trivy等工具实现Docker镜像漏洞扫描,推荐使用--format json输出并解析Results[].Vulnerabilities[]中CRITICAL/HIGH级漏洞,注意去重、超时控制及缓存隔离。
Go 语言本身不直接提供 Docker 镜像漏洞扫描能力,但可以调用成熟的安全工具(如 trivy、grype)的 CLI 或 API,封装成可集成、可调度的扫描服务。关键在于:别自己重写漏洞数据库和包解析逻辑,而是用好已有工具的输出。
用 exec.Command 调用 trivy 扫描本地镜像
这是最轻量、最可靠的方式。Trivy 支持离线数据库更新、多种输出格式(JSON 最适合 Go 解析),且对 Go 生态兼容性好。
-
trivy必须已安装在系统 PATH 中,且至少执行过一次trivy image --download-db-only初始化数据库 - 推荐使用
--format json输出,避免解析文本带来的稳定性问题 - 注意镜像名必须是本地已存在的(
docker images可见),否则需先docker pull - 超时控制很重要:大型镜像扫描可能耗时数分钟,建议设
context.WithTimeout
cmd := exec.CommandContext(ctx, "trivy", "image", "--format", "json", "nginx:1.25")
output, err := cmd.Output()
if err != nil {
if exitErr, ok := err.(*exec.ExitError); ok && exitErr.ExitCode() == 1 {
// 注意:trivy 发现漏洞时也返回 1,不是错误,需检查 stderr + stdout 组合判断
}
}
解析 trivy JSON 输出提取高危漏洞
Trivy 的 JSON 结构较深,重点字段在 Results[].Vulnerabilities[],但需过滤掉 Severity 为 UNKNOWN 或 LOW 的条目(除非策略要求全量)。
-
Vulnerabilities[].Severity值为CRITICAL/HIGH/MEDIUM/LOW/UNKNOWN -
Vulnerabilities[].PkgName和Vulnerabilities[].InstalledVersion可用于定位具体依赖 - 不要忽略
Vulnerabilities[].PrimaryURL,它是 CVE 详情页链接,方便后续人工核查 - 注意:同一 CVE 可能在多个
Results[]中重复出现(不同 OS 层/语言层),建议按CVEID去重
避免常见陷阱:权限、路径与并发安全
容器扫描服务常被部署为 Kubernetes Job 或长期运行的 HTTP 服务,以下问题高频发生:
立即学习“go语言免费学习笔记(深入)”;
- 在容器中运行
trivy时,宿主机的/var/lib/trivy数据库路径不可达 → 应挂载或改用--cache-dir /tmp/trivy-cache - 并发扫描多个镜像时,
trivy默认共享缓存,可能引发竞态 → 加--no-progress --quiet并确保每个调用指定独立--cache-dir - Go 进程以非 root 用户运行,但
trivy image需要读取/var/run/docker.sock→ 要么给容器加docker.sock挂载和securityContext.runAsUser,要么改用trivy fs扫描导出的镜像 tar 包 - 误把
trivy client当作本地扫描器 → 它只是向trivy server发请求,仍需单独部署 server,增加运维负担,不推荐初用
什么时候该考虑 grype 或自建适配器
如果团队已用 Anchore 或 Syft 构建了统一软件物料清单(SBOM)流程,grype 更合适——它专为 SBOM 输入设计,支持 CycloneDX/SPDX 格式,且漏洞匹配策略更细粒度(比如可禁用某类 CVE 匹配规则)。
-
grype不直接支持docker://镜像名,需先用syft生成 SBOM:syft nginx:1.25 -o cyclonedx-json > sbom.json,再grype sbom:sbom.json - Go 中调用逻辑类似
trivy,但需额外管理两个 CLI 工具生命周期 - 若需对接内部漏洞库(如私有 CVE 映射表)、或做定制化评分(CVSS 加权),才值得基于
trivy的 JSON 输出写 Go 层聚合逻辑;否则纯 shell 脚本 + webhook 更简单
真正难的不是调用命令,而是如何让扫描结果进入开发者的日常流程:PR 检查失败时给出可操作建议(比如“升级 libssl1.1 到 1.1.1w+”),而不是只扔一堆 CVE 编号。这需要解析 PkgName 和修复版本信息,而 Trivy 的 JSON 里并不总包含后者——得靠外部映射或语义版本比对,这部分才是 Go 代码该发力的地方。
