JeTelecharge > Windows > Développement > Autres > Trivy > FAQ - Tutoriel

Comment installer et utiliser Trivy sur PC ?

Tutoriel permettant une prise en main facile de l'application Trivy sur un PC Windows. De l'installation à l'accès aux fonctionnalités, en passant par la configuration et ses réglages. L'objectif est de vous éviter les erreurs et d'indiquer l'étendue des possibilités. Les intitulés peuvent varier selon la version installée et la langue sélectionnée.
télécharger

Qu'est-ce que Trivy permet de faire ?

Trivy est un analyseur de sécurité tout-en-un qui sert à détecter des vulnérabilités, des erreurs de configuration, des secrets exposés, des problèmes de licences et d'autres risques de sécurité dans plusieurs types d'objets : images de conteneurs, systèmes de fichiers, dépôts Git, machines virtuelles et environnements Kubernetes. Il s'adresse autant aux développeurs qu'aux équipes DevOps et sécurité, avec une utilisation en ligne de commande simple et des options adaptées aux usages locaux comme aux pipelines automatisés.

Comment le télécharger ?

Rendez-vous sur la page dédiée à Trivy sur la logithèque

Installation sur PC

Pour Windows, la méthode consiste à récupérer l'archive ZIP, puis à la décompresser et à placer l'exécutable dans un dossier de votre choix. Une fois l'archive extraite, vous pouvez lancer l'exécutable depuis l'invite de commandes ou PowerShell en ajoutant éventuellement ce dossier à la variable d'environnement PATH.

Configuration de base

Trivy fonctionne surtout en ligne de commande, mais sa configuration repose sur des options simples passées lors de l'exécution. Vous pouvez choisir le type de cible, le ou les scanners à activer, et le sujet à analyser.

La forme générale indiquée est la suivante : trivy [--scanners ]. En pratique, cela signifie que vous définissez d'abord quoi scanner, puis sur quoi, puis éventuellement quels contrôles appliquer.

Les scanners disponibles couvrent notamment les vulnérabilités, les secrets, les licences et les erreurs de configuration. Il est donc possible de limiter l'analyse à un seul type de problème ou d'en combiner plusieurs selon le contexte.

Utilisation des fonctionnalités principales

Analyser une image de conteneur

Pour contrôler une image, il faut lancer Trivy sur la cible correspondante et lui fournir le nom de l'image à examiner. L'outil inspecte alors le contenu de l'image et remonte les vulnérabilités ou autres problèmes selon les scanners activés.

Etapes :

  • Ouvrir un terminal.
  • Lancer Trivy en visant une image de conteneur.
  • Lire les résultats affichés par l'outil.
  • Corriger les paquets, dépendances ou réglages signalés.
  • Relancer l'analyse après correction pour vérifier la disparition des alertes.

Analyser un système de fichiers ou un projet local

Trivy peut aussi être utilisé sur un dossier local, ce qui est utile pour analyser un code source, une arborescence de configuration ou un artefact non conteneurisé. Cette approche permet de repérer à la fois des vulnérabilités et des secrets, selon la configuration choisie.

Etapes :

  • Se placer dans le dossier du projet ou indiquer son chemin.
  • Exécuter Trivy sur le répertoire ciblé.
  • Vérifier les fichiers et dépendances signalés.
  • Corriger les éléments exposés ou non conformes.
  • Relancer un scan complet pour valider la remédiation.

Analyser un dépôt Git distant

Trivy peut analyser un dépôt Git distant comme cible. Cela permet d'auditer un projet sans devoir le cloner au préalable, selon le besoin et le contexte de sécurité.

Etapes :

  • Indiquer le dépôt comme sujet d'analyse.
  • Choisir les scanners utiles, par exemple vulnérabilités et secrets.
  • Examiner les résultats obtenus.
  • Corriger les fichiers ou dépendances concernés dans le dépôt source.

Vérifier des fichiers d'infrastructure et de configuration

Pour les environnements IaC, Trivy est utile afin de détecter des erreurs de configuration dans des fichiers Terraform, Kubernetes ou autres manifests compatibles avec son moteur d'analyse. Cette vérification est importante avant le déploiement.

Etapes :

  • Sélectionner le dossier contenant les fichiers d'infrastructure.
  • Activer l'analyse de misconfigurations.
  • Examiner les règles signalées comme problématiques.
  • Ajuster les paramètres de configuration.
  • Refaire un scan jusqu'à obtenir un résultat satisfaisant.

Détecter des secrets dans du code

Trivy peut rechercher des secrets stockés par erreur dans un dépôt ou un dossier local. Cette fonction sert à réduire les risques liés à l'exposition de clés API, jetons d'accès ou identifiants.

Etapes :

  • Lancer un scan sur le dépôt ou le dossier concerné.
  • Activer le scanner de secrets si nécessaire.
  • Contrôler chaque détection pour éviter les faux positifs.
  • Supprimer ou remplacer les secrets exposés.
  • Modifier les processus de gestion des secrets si besoin.

Examiner les licences des dépendances

L'analyse des licences permet de connaître les conditions juridiques associées aux composants logiciels présents dans une cible. Cette fonction est utile dans les projets open source ou en entreprise, lorsque certaines licences doivent être évitées ou encadrées.

Etapes :

  • Scanner le projet ou l'image contenant les dépendances.
  • Vérifier la liste des licences remontées.
  • Comparer ces licences avec la politique interne du projet.
  • Mettre à jour ou remplacer les dépendances incompatibles.

Produire un SBOM

Trivy peut générer une vue des composants logiciels présents dans une cible, ce qui aide à documenter le contenu exact d'un artefact. Cette capacité est utile pour l'audit, la traçabilité et la gestion du risque.

Etapes :

  • Lancer l'analyse sur la cible souhaitée.
  • Demander la sortie correspondant à l'inventaire logiciel si nécessaire.
  • Conserver le résultat dans votre processus de documentation.
  • Mettre à jour l'inventaire après chaque modification importante.



FAQ créée le 07/06/2026 et éditée le 08/06/2026
Télécharger Trivy gratuitement