离线更新k8s环境下的trivy漏洞库方法

[giscus[bot]]

离线更新k8s环境下的trivy漏洞库方法

本文记录的是如何在离线环境下快速更新trivy.db，解决国内下载东西网络慢的问题，以及如何将文件拷贝进容器。这两个小技巧比较实用，以供未来参考。

https://ladybug.top/posts/CloudNative/update-trivy-vulnerability-library-in-offline-k8s-environment.html

[ycyin]

后面我在本地安装trivy cli扫描镜像时如果镜像中有Jar文件，除了文中提到的漏洞库（Vulnerability db）外，还要有Java索引库（Java index db）

参考离线环境安装DB库官方文档：https://aquasecurity.github.io/trivy/v0.46/docs/advanced/air-gap/
You container image may contain JAR files even though you don't use Java directly. In that case, you also need to download the Java index database.

下载Java索引库：

TRIVY_TEMP_DIR=$(mktemp -d)
docker run --rm -v $TRIVY_TEMP_DIR:/root/.cache/ aquasec/trivy image --download-java-db-only
tar -cf ./javadb.tar.gz -C $TRIVY_TEMP_DIR trivy/java-db
rm -rf $TRIVY_TEMP_DIR

漏洞库db文件和metadata.json放在/home/myuser/.cache/trivy/db
Java索引库db文件和metadata.json放在/home/myuser/.cache/trivy/java-db

[ycyin]

play-with-docker如果无法ssh登录，需要生成ed25519类型的密钥对

1. ssh-keygen -t ed25519 -P "" -f ~/.ssh/id_ed25519
2. ssh -i ~/.ssh/id_ed25519 ip172-18-0-18-cr3up12im2rg00c46ntg@direct.labs.play-with-docker.com

参见：play-with-docker/play-with-docker#238 (comment)