Grype — Утилита для сканирования уязвимостей в контейнерах и па

кетах

Grype — это мощный инструмент от Anchore, предназначенный для поиска известных уязвимостей (CVE) в контейнерных образах, директориях, пакетах и файлах SBOM (Software Bill of Materials). Grype поддерживает большое количество форматов и интеграций: Docker, OCI-образы, файлы .tar, .sbom, .spdx, .cyclonedx и многое

другое.

Установка утилиты
Через curl (Linu

x/macOS):

curl -sSfL https://get.anchore.io/grype | sudo sh -s -- -b /usr

/local/bin

Через Homebrew

 (macOS):

brew tap anchore/grype

brew ins

tall grype

Сканирование образа
Простой анализ уязвимостей в Doc

ker-образе:

grype 

ubuntu:20.04

Grype сам загрузит образ (если он локально не найден), проанализирует установленные пакеты и выведет список известных уязвимостей с указанием:
CVE-идентификатора
Уровня серьезности (Low, Medium, High, Critical)
Пакета и его версии
Доступного фикс-патча (если есть)

Сканирование директорий и файлов
Можно сканировать локальные директ

ории или .tar-архивы:

grype dir:/path/to/project

grype oci-arc

hive:path/to/image.tar

Работа с SBOM
Grype может сканировать SBOM файлы (в формате

Syft, CycloneDX, SPDX):

gry

pe sbom:my-app.spdx.json

Или сгенерировать SBOM отдельно через Syf

t и передать его Grype:

syft ubuntu:20.04 -o spdx-json > sbo

m.json
grype sbom:sbom.json

4?? Вывод в различных форматах
Grype поддержив

ает вывод в разных форматах:

grype ubuntu:20.04 -o json         # JSON

grype ubuntu:20.04 -o table        # Таблица

grype ubuntu:20.04 -o cyclon

edx # CycloneDX SBOM + CVE