Trivy

Когда технология Docker только появилась, её полюбили за лозунг: «Build once, run anywhere» (Собери один раз, запускай везде). Разработчики перестали слышать фразу «на моей машине всё работает, а на сервере — нет». Но вместе с удобством пришла и новая угроза.

Контейнер — это не просто ваше приложение. Это целая мини-операционная система (ОС) со своими библиотеками, утилитами и системными вызовами. И если вы не следите за этой ОС, вы оставляете хакерам огромную дверь, открытую настежь.

Представьте, что вы строите дом. Вы сами спроектировали стены, проверили каждый кирпич и убедились, что не забыли ключи в замке. Но что, если бетон, который вы купили у стороннего поставщика, со временем начинает рассыпаться? Или в готовых оконных рамах, которые вы установили, есть скрытые дефекты?

В современной разработке ситуация именно такая. Среднестатистическое приложение сегодня на 80–90% состоит из Open Source библиотек. Вы пишете лишь небольшую часть кода (верхушка айсберга), которая управляет огромным массивом чужого кода, скрытого «под водой».