Trivy Action v0.31.0 版本发布：容器安全扫描工具的重要更新

项目简介

Trivy Action 是 Aqua Security 开源的一款 GitHub Action，专门用于在 CI/CD 流水线中集成 Trivy 安全扫描工具。Trivy 本身是一个简单而全面的容器漏洞扫描器，能够检测容器镜像、文件系统和 Git 仓库中的安全漏洞、配置错误、敏感信息泄露等问题。Trivy Action 则让开发者能够轻松地将这些安全扫描能力集成到 GitHub 工作流中。

版本亮点

最新发布的 Trivy Action v0.31.0 版本带来了一系列改进和修复，主要包括以下几个方面：

1. Docker 主机输入格式明确

本次更新明确了一个重要细节：当使用 docker-host 输入参数时，必须使用 unix:/ 前缀。这一变更确保了与 Docker 守护进程通信时的正确性，避免了因格式不规范导致的连接问题。

2. 输入参数隔离修复

修复了一个关键问题，解决了 Trivy Action 在不同调用之间输入参数泄露的问题。这个修复确保了每次扫描任务的独立性，防止了参数设置意外影响后续扫描任务的情况。

3. 安全加固：使用哈希值而非标签

为了提高安全性，新版本将 aquasecurity/setup-trivy 的引用方式从标签改为哈希值。这种做法减少了依赖第三方标签可能带来的安全风险，是供应链安全的一个良好实践。

4. 底层 Trivy 版本升级

核心扫描引擎 Trivy 已升级至 v0.63.0 版本，带来了最新的漏洞数据库和扫描能力改进。这一升级意味着用户将获得更准确、更全面的安全扫描结果。

5. 示例代码更新

示例代码中的基础镜像已更新为 Ubuntu 24.04，这反映了现代容器实践的最新趋势，同时也确保了示例的时效性和实用性。

技术意义

这些更新从多个维度提升了 Trivy Action 的可靠性、安全性和易用性：

1. 格式规范化：明确输入格式要求减少了配置错误，提高了工具的稳定性。

2. 隔离性增强：修复参数泄露问题确保了扫描任务的独立性，这对于复杂的 CI/CD 流水线尤为重要。

3. 供应链安全：使用哈希值而非标签引用依赖项，是当前软件供应链安全的最佳实践之一。

4. 核心引擎更新：保持底层扫描引擎的最新状态，意味着用户始终能够获得最准确的安全扫描结果。

5. 现代化示例：更新示例代码不仅提高了新用户的上手体验，也展示了当前容器技术的最佳实践。

使用建议

对于现有用户，建议尽快升级到 v0.31.0 版本以获取这些改进。特别是：

• 检查现有的 docker-host 参数配置，确保已添加 unix:/ 前缀
• 更新工作流文件中的版本引用
• 考虑利用新的 Ubuntu 24.04 基础镜像更新自己的容器镜像

对于新用户，这个版本提供了一个更加稳定和安全的基础来开始集成容器安全扫描到 CI/CD 流程中。

总结

Trivy Action v0.31.0 虽然是一个小版本更新，但包含了多项重要的改进和修复，进一步巩固了它作为容器安全扫描解决方案的地位。这些变更反映了开发团队对安全性、稳定性和用户体验的持续关注，使得开发者能够更加自信地将安全扫描集成到他们的开发流程中。