Trivy es un escáner de seguridad open source mantenido por Aqua Security que detecta vulnerabilidades, secretos expuestos, configuraciones incorrectas y dependencias de software (SBOM) en distintos entornos de desarrollo e infraestructura. Distribuido bajo una licencia de código abierto, se ha consolidado como una de las referencias en el análisis de seguridad para contenedores y aplicaciones en la nube.
La herramienta se organiza en torno a dos ejes: los objetivos que puede analizar y los tipos de problemas que sabe identificar. Entre los objetivos se incluyen imágenes de contenedores, sistemas de archivos, repositorios Git remotos, imágenes de máquinas virtuales y clústeres de Kubernetes. En cuanto a los escaneos, Trivy detecta paquetes del sistema operativo y dependencias de software en uso (generando un SBOM), vulnerabilidades conocidas (CVEs), problemas de configuración en código de infraestructura como código (IaC), información sensible o credenciales filtradas, y licencias de software.
Es compatible con los lenguajes y plataformas más utilizados, como Python, Java, Go, Node.js, Ruby, .NET, PHP, Rust y Swift, además de distribuciones Linux como Alpine, Debian, Ubuntu, RHEL, CentOS, Fedora y Amazon Linux. La cobertura completa está documentada en el sitio oficial del proyecto.
La instalación es flexible: puede descargarse mediante gestores de paquetes como Homebrew en macOS, ejecutarse como contenedor Docker con la imagen aquasec/trivy, o instalarse como binario desde la página de releases de GitHub. También existen builds «canary» generadas con cada cambio en la rama principal, aunque los responsables advierten de que pueden contener errores críticos y no se recomiendan para producción.
En el plano de integraciones, Trivy se conecta con plataformas habituales en flujos DevSecOps, como GitHub Actions, operadores de Kubernetes y extensiones para Visual Studio Code, lo que facilita su incorporación en pipelines de CI/CD para evaluar la seguridad en cada cambio de código.
La herramienta se distribuye como proyecto open source de Aqua Security, empresa que también ofrece productos comerciales que extienden las capacidades de Trivy. Entre las consideraciones a tener en cuenta, los builds canary no son aptos para producción y el escaneo de imágenes muy grandes puede requerir recursos significativos de memoria y disco, por lo que conviene revisar la tabla de cobertura antes de adoptarlo en un proyecto concreto.