问题遇到的现象和发生背景
我们公司的测试部,运行了一个工具trivy扫描镜像,然后就列出了漏洞。我好奇,其工作原理是什么?
对于报处理的漏洞编码cve ID,我知道是这样的:当有人发现漏洞时,在社区提交漏洞,然后被cve 官方数据库收录,分配cve id。
我的解答思路和尝试过的方法
然后我猜工作原理是不是这样:
漏洞扫描工具扫描镜像,然后扫描镜像内的组件/库的包的版本,然后再去官方数据库检索,看看搜到的组件/库的版本有没有官方记录的漏洞,发现有就列出漏洞列表(cve id列表),是这样的吗?
如果是这样,我还有个疑问,我们都组件和库,如果安装到不是默认的目录,比如/home/mydir它是不是就扫描不到了。
请问有谁知道工作原理吗?