Aller au contenu

Scanner de vulnérabilités (Trivy)

Le registre intègre Trivy, un scanner qui analyse vos images à la recherche de vulnérabilités connues (CVE) dans les paquets système et les dépendances applicatives.

À quoi ça sert ?

Une image, même officielle, peut embarquer des bibliothèques présentant des failles de sécurité. Le scan vous permet d'identifier ces failles, de connaître leur gravité, et de savoir si un correctif existe.

Lancer un scan manuellement

Il faut être au moins Maintainer du projet.

  1. Ouvrez votre projet > onglet Repositories, puis sélectionnez un dépôt
  2. Cochez le ou les artefacts (tags) à analyser
  3. Cliquez sur SCAN

Lancement d'un scan Trivy

Le scan s'exécute en arrière-plan ; l'état progresse de Queued à Done.

Scan automatique au push

Le projet peut être configuré pour scanner automatiquement chaque image dès qu'elle est poussée.

  1. Ouvrez votre projet > onglet Configuration
  2. Cochez Automatically scan images on push
  3. Enregistrez

Configuration du scan au push

Lire les résultats

La colonne Vulnerabilities affiche une synthèse colorée par niveau de gravité :

Couleur Signification
Vert Aucune vulnérabilité détectée
Bleu Vulnérabilités faibles (Low)
Jaune Vulnérabilités moyennes (Medium)
Orange Vulnérabilités élevées (High)
Rouge Vulnérabilités critiques (Critical)
Gris État inconnu (image non scannée)

La synthèse indique également le nombre total de vulnérabilités et combien sont corrigeables (fixable). Vous pouvez survoler l'icône pour voir la répartition par niveau de gravité.

Synthèse des vulnérabilités

Le rapport détaillé

Cliquez sur le digest de l'artefact pour ouvrir le rapport complet. Pour chaque vulnérabilité, vous trouverez :

  • l'identifiant CVE (avec un lien vers sa description),
  • le paquet concerné et sa version installée,
  • le niveau de gravité,
  • la version corrigée lorsqu'un correctif existe.

Vous pouvez trier et filtrer la liste par colonne, et relancer un scan directement depuis le rapport.

Rapport de vulnérabilités

Que faire des résultats ?

Réduire les vulnérabilités de vos images

  • Mettez à jour votre image de base (docker pull de la dernière version, puis reconstruisez).
  • Privilégiez des images de base minimales (alpine, -slim, distroless) : moins de paquets, moins de surface d'attaque.
  • Mettez à jour les dépendances applicatives signalées comme corrigeables.
  • Reconstruisez et re-poussez régulièrement vos images pour intégrer les correctifs.

Mise à jour de la base de CVE

Trivy met à jour sa base de données de vulnérabilités automatiquement. Un même tag rescanné plus tard peut donc révéler de nouvelles vulnérabilités découvertes entre-temps.