Grype 强大的开源容器漏洞扫描工具完全指南

原创于 2025-10-27 16:12:30 发布 · 741 阅读

CC 4.0 BY-SA版权

文章标签：

在当今快速发展的 DevOps 和容器化环境中，安全已经成为每个开发和运维团队的首要关注点。而说到容器安全，漏洞扫描绝对是不可或缺的一环！今天我要给大家介绍一款超级实用的开源工具 —— Grype，它可能是你容器安全防线中最得力的助手（没有之一）！

什么是 Grype？

Grype 是由 Anchore 公司开发的一款功能强大的开源漏洞扫描工具，专为容器镜像和文件系统设计。它能够快速检测各种已知漏洞，帮助开发团队在部署前发现并修复潜在的安全问题。与市面上其他复杂的安全工具不同，Grype 简单易用，可以无缝集成到 CI/CD 流水线中，实现自动化安全检测。

想象一下：你辛辛苦苦写好代码，构建完容器，准备部署上线，结果生产环境被黑客攻破了…为什么？就是因为基础镜像中的一个小小漏洞！这种风险完全可以通过 Grype 提前发现并规避！

Grype 的核心优势

相比市面上其他漏洞扫描工具，Grype 有哪些突出优势呢？让我们一起来看看：

多平台支持 - Grype 可在桌面环境、CI 系统中运行，也可作为 Docker 容器运行，适应各种使用场景
全面的扫描能力 - 不仅能扫描操作系统包（如 apt、apk 等），还能识别多种编程语言的依赖包漏洞（JavaScript、Python、Java 等）
实时更新的漏洞数据库 - Grype 维护着一个本地漏洞数据库，自动从多个权威来源更新，包括:
- 国家漏洞数据库 (NVD)
- Debian 安全跟踪器
- Red Hat 安全公告
- 其他可信安全列表
支持 SBOM 集成 - 可与 Syft（软件物料清单工具）无缝集成，加速漏洞扫描过程
灵活的输出格式 - 支持多种报告格式（JSON、表格、CycloneDX），甚至可以自定义输出模板
零日漏洞检测 - 能够发现如 log4j 等零日漏洞，提升应用安全性
定制化规则 - 可通过配置文件设置忽略特定漏洞、调整严重性阈值等规则

安装 Grype

安装 Grype 超级简单！根据你的操作系统，有多种安装方式可选：

使用安装脚本（推荐，适用于 Linux 和 macOS）

curl -sSfL https://raw.githubusercontent.com/anchore/grype/main/install.sh | sh -s -- -b /usr/local/bin

这个命令会下载最新版本的 Grype 并安装到 /usr/local/bin 目录。你也可以修改 -b 参数后的路径，将 Grype 安装到你想要的位置。

使用 Docker 容器

如果你偏好容器化运行，可以直接拉取 Grype 的官方镜像：

docker pull anchore/grype

然后，你可以通过以下方式运行它：

docker run anchore/grype <镜像名称>

从 GitHub 下载二进制文件

你也可以直接从 GitHub 发布页面下载适合你操作系统的二进制文件。

Grype 使用场景

Grype 非常灵活，可以在多种场景下使用。下面是一些常见的使用场景：

1. 扫描容器镜像

这是最基础也是最常用的功能 - 检测容器镜像中的漏洞：

# 扫描 Docker Hub 上的镜像
grype nginx:latest

# 扫描本地 Docker 镜像
grype docker:nginx:latest

# 扫描私有仓库中的镜像
grype registry:harbor.example.com/project/image:tag

扫描结果会显示镜像中发现的所有漏洞，包括漏洞 ID、受影响的包、严重性等级以及修复版本（如果有的话）。

2. 扫描文件系统或项目目录

Grype 也可以扫描本地文件系统或项目目录：

# 扫描当前目录
grype dir:.

# 扫描指定目录
grype dir:/path/to/project

这对于在构建镜像前检查源代码依赖项非常有用！例如，你可以扫描 Python 虚拟环境或 Node.js 的 node_modules 文件夹，提前发现并修复依赖中的漏洞。

3. 扫描 SBOM 文件

如果你已经使用 Syft 或其他工具生成了软件物料清单 (SBOM)，Grype 可以直接分析这些文件：

# 扫描 Syft 生成的 SBOM 文件
grype sbom:./sbom.json

# 或者通过管道传入 SBOM
cat ./sbom.json | grype

这种方式特别高效！因为 Grype 不需要重新分析整个容器镜像或文件系统，而是直接基于 SBOM 文件进行漏洞匹配。如果你需要频繁扫描同一个镜像，强烈推荐使用这种方法！！！

高级配置选项

Grype 提供了丰富的配置选项，可以通过命令行参数或配置文件 (.grype.yaml) 进行设置：

命令行参数

# 只显示已修复的漏洞
grype nginx:latest --only-fixed

# 当发现高危或更高级别漏洞时返回错误代码
grype nginx:latest --fail-on high

# 指定输出格式
grype nginx:latest -o json
grype nginx:latest -o cyclonedx

配置文件

Grype 默认会在以下位置查找配置文件：

./.grype.yaml（当前目录）
$HOME/.grype.yaml（用户主目录）
$HOME/.grype/config.yaml

典型的配置文件示例：

# 忽略特定的漏洞
ignore:
  - vulnerability: CVE-2020-28498
    package:
      name: node-fetch

# 失败阈值
fail-on-severity: high

# 扫描深度
search-unindexed-archives: true

# 输出格式
output: cyclonedx-json

有了这些配置，你可以完全根据自己的需求定制 Grype 的行为！

与 CI/CD 集成

Grype 最强大的用途之一就是集成到 CI/CD 流水线中，实现自动化漏洞检测。下面是几种常见集成场景的示例：

GitLab CI 集成

scan_vulnerabilities:
  stage: test
  image: anchore/grype:latest
  script:
    - grype $CI_REGISTRY_IMAGE:$CI_COMMIT_SHA --fail-on high
  allow_failure: false

GitHub Actions 集成

name: Security Scan

on: [push, pull_request]

jobs:
  grype-scan:
    runs-on: ubuntu-latest
    steps:
      - name: Checkout code
        uses: actions/checkout@v2
      
      - name: Install Grype
        run: curl -sSfL https://raw.githubusercontent.com/anchore/grype/main/install.sh | sh -s -- -b /usr/local/bin
      
      - name: Build image
        run: docker build -t my-app:${{ github.sha }} .
      
      - name: Scan for vulnerabilities
        run: grype docker:my-app:${{ github.sha }} --fail-on high

这样，每次代码提交或合并请求都会自动进行漏洞扫描，如果发现高危漏洞，流水线会自动失败，防止不安全的代码进入生产环境！

使用 VEX 数据过滤误报

Grype 可以使用 VEX（漏洞可利用性交换）数据来过滤误报或提供额外的上下文。当扫描容器镜像时，你可以使用 --vex 标志指向一个或多个 OpenVEX 文档：

grype your-image:tag --vex path/to/vex-doc.json

VEX 声明将产品（容器镜像）、漏洞和 VEX 状态关联起来，以表达对漏洞影响的断言。这对于减少误报特别有用！

自定义输出模板

Grype 允许使用 Go 模板定义自定义输出格式：

将模板保存为文件（如 custom.tmpl）
使用 -o template 指定输出格式
使用 -t 参数指定模板文件

grype nginx:latest -o template -t custom.tmpl > report.html

Grype 源代码的 templates 目录中有几个模板示例，可以作为自定义输出格式的起点。

真实案例分析

为了让大家更直观地了解 Grype 的强大功能，我来分享一个真实使用案例。

假设我们有一个基于 Alpine Linux 的 Python 应用容器：

$ grype python:alpine

 ✓ Vulnerability DB        [updated]
 ✓ Parsed image
 ✓ Cataloged packages      [98 packages]
 ✓ Scanning image...       [13 vulnerabilities]
NAME          INSTALLED                 FIXED-IN     VULNERABILITY   SEVERITY
expat         2.4.4-r0                  2.4.5-r0     CVE-2022-25235  Critical
expat         2.4.4-r0                  2.4.5-r0     CVE-2022-25236  Critical
expat         2.4.4-r0                  2.4.5-r0     CVE-2022-23852  High
libcrypto1.1  1.1.1l-r0                             CVE-2022-0778   High
libcrypto1.1  1.1.1l-r0                 1.1.1n-r0    CVE-2022-1292   Critical
libssl1.1     1.1.1l-r0                             CVE-2022-0778   High
libssl1.1     1.1.1l-r0                 1.1.1n-r0    CVE-2022-1292   Critical

通过扫描结果，我们可以清楚地看到镜像中存在几个严重漏洞，特别是 expat 和 OpenSSL 相关的组件。针对这些发现，我们可以采取以下措施：

更新基础镜像到最新版本
在 Dockerfile 中添加额外的包更新命令
考虑使用更安全的基础镜像，如 Wolfi 或 Chainguard Images

经过修复后，再次运行扫描确认漏洞已解决：

$ grype python:alpine-fixed

 ✓ Vulnerability DB        [no update available]
 ✓ Parsed image
 ✓ Cataloged packages      [98 packages]
 ✓ Scanning image...       [0 vulnerabilities]

No vulnerabilities found

完美！现在我们的容器镜像已经没有已知漏洞了，可以安全部署到生产环境。

与其他开源工具比较

市面上还有其他几款流行的容器漏洞扫描工具，如 Trivy、Clair 等。相比之下，Grype 有哪些优势和劣势呢？

Grype vs Trivy

优势：Grype 与 Syft 集成更紧密，支持 SBOM 扫描更高效
劣势：Trivy 支持更广泛的漏洞类型，包括配置检查和密钥扫描

Grype vs Clair

优势：Grype 使用更简单，安装配置更轻量
劣势：Clair 在大型企业环境中的可扩展性更好

根据我的经验，如果你需要一个简单易用、集成方便的工具，Grype 是很好的选择；如果需要更全面的安全扫描功能，可能需要考虑组合使用多种工具。

最佳实践与技巧

使用 Grype 时，这里有一些我积累的最佳实践和小技巧：

定期更新漏洞数据库：虽然 Grype 会自动更新数据库，但你也可以手动触发更新：
```
grype db update
```
结合 SBOM 使用：先用 Syft 生成 SBOM，再用 Grype 扫描，可以显著提高效率：
```
syft nginx:latest -o json > sbom.json
grype sbom:sbom.json
```
设置严重性阈值：根据项目安全要求，设置适当的失败阈值：
```
grype nginx:latest --fail-on medium
```
忽略已知的误报：某些情况下，特定漏洞可能不适用于你的环境，可以配置忽略规则
保存历史扫描结果：使用 JSON 输出格式保存扫描结果，方便追踪安全状况的变化：
```
grype nginx:latest -o json > scan-results-$(date +%Y%m%d).json
```
在早期开发阶段就开始扫描：不要等到部署前才检查漏洞，越早发现越容易修复！