Top 13 Container Scanning Tools im Jahr 2026

Ruben Camerlynck

#Tools

#Container Scanning

Veröffentlicht am:

18. Juli 2025

Zuletzt aktualisiert am:

16. Dezember 2025

Container sind zum Rückgrat des modernen DevOps geworden. Sie bringen aber auch neue Sicherheitsprobleme mit sich. Ein einziges anfälliges Basis-Image oder ein falsch konfigurierter Container kann sich zu einer großen Sicherheitslücke über Dutzende von Diensten ausweiten.

Tatsächlich ergab eine aktuelle Studie, dass etwa 87 % der Container-Images schwerwiegende oder kritische Schwachstellen aufweisen. Fügt man dem die Trends von Lieferkettenangriffen und sich ständig weiterentwickelnden CVEs im Jahr 2026 hinzu, wird klar, dass Container-Scanning-Tools unverzichtbar sind. Diese Tools spüren automatisch bekannte Bugs, Sicherheitslücken und fehlerhafte Konfigurationen in Ihren Container-Images (und manchmal auch in Live-Containern) auf, damit Sie keine tickenden Zeitbomben ausliefern.

Wir stellen die besten Container Scanning Tools vor, um Ihrem Team zu helfen, Images, Workloads und Cloud-native Infrastruktur vor und nach der Bereitstellung zu sichern.

Wir beginnen mit einer umfassenden Liste der vertrauenswürdigsten Plattformen und erläutern dann, welche Tools für spezifische Anwendungsfälle wie Entwickelnde, Unternehmen, Startups, Kubernetes-Umgebungen und mehr am besten geeignet sind. Springen Sie bei Bedarf direkt zum entsprechenden Anwendungsfall unten.

Die 5 besten Container Scanning Tools für Entwickelnde: Aikido Security · Snyk Container
Die 5 besten Container Scanning Tools für Unternehmen: Aqua Security · Aikido Security
Die 4 besten Container Scanning Tools für Startups: Aikido Security · Trivy
Die 4 besten kostenlosen Container-Scanner: Trivy · Grype
Die 5 besten Tools für das Docker Image Vulnerability Scanning: Aikido Security · Anchore / Grype
Die 5 besten Containersicherheitstools mit Laufzeitschutz: Sysdig Secure · Falco
Die 5 besten Container-Scanner für Kubernetes-Umgebungen: Aikido Security · Sysdig Secure ‍
Die 4 besten Open-Source-Container-Scanning-Tools: Trivy · Clair

TL;DR

Aikido Security ist führend im Bereich Containersicherheit, da es nicht nur Images scannt, sondern auch Ihren gesamten Stack absichert. Es ist eine entwickelnden-zentrierte Plattform, die Container-CVEs und Fehlkonfigurationen findet und sogar Basis-Image-Upgrades über KI-Autofix vorschlägt, während es gleichzeitig Code und Cloud abdeckt.

Die intelligente Deduplizierung von Aikido reduziert Tausende von Container-Findings auf die wenigen kritischen, und seine unkomplizierte Preisgestaltung (kostenlos zum Testen, vernünftige Flatrate-Pläne) bedeutet, dass Engineering-Teams vollen Containerschutz ohne Budgetprobleme erhalten.

Was ist Container-Scanning?

Container-Scanning ist der Prozess der Analyse von Container-Images (und gelegentlich laufenden Containern) auf Sicherheitsprobleme. Vereinfacht ausgedrückt bedeutet dies, den Inhalt Ihrer Docker/OCI-Images auf bekannte Schwachstellen, Malware, Secrets oder Konfigurationsfehler zu scannen, bevor diese Container in der Produktion ausgeführt werden.

Ein Container-Scanner entpackt typischerweise ein Image, katalogisiert dessen OS-Pakete, Bibliotheken und Konfiguration und vergleicht all dies mit Schwachstellendatenbanken und Sicherheits-Benchmarks.

In einem sicheren DevOps-Workflow ist Container-Scanning ein automatisierter Schritt in der Pipeline, um Probleme frühzeitig zu kennzeichnen, damit Entwickelnde sie als Teil der normalen Entwicklung beheben können, ähnlich wie beim Kompilieren von Code oder Ausführen von Tests.

Warum Sie Container-Scanning-Tools benötigen

Hier sind 5 Gründe, warum Sie Container-Scanning-Tools benötigen:

Schwachstellen frühzeitig erkennen: Erkennen Sie bekannte CVEs und Schwachstellen in Ihren Images automatisch, bevor sie in Produktion gehen. Dies hilft Ihnen, Images proaktiv zu patchen oder neu zu erstellen, anstatt auf Vorfälle zu reagieren.
Compliance sicherstellen: Erfüllen Sie Sicherheitsstandards und Best Practices (CIS-Benchmarks, PCI-DSS, HIPAA usw.), indem Sie überprüfen, ob Ihre Container keine verbotenen Pakete oder Konfigurationen enthalten. Scans erstellen Berichte und Audit-Trails, um Compliance-Anforderungen zu erfüllen.
In CI/CD integrieren: Moderne Container-Scanner lassen sich in Ihre CI/CD-Pipeline oder Container-Registry integrieren und fungieren als Prüfpunkt. Sie können die Bereitstellung riskanter Images blockieren, ohne die Entwicklung zu verlangsamen.
Risiko von Sicherheitsverletzungen reduzieren: Indem Scanner kritische Schwachstellen (z. B. eine alte OpenSSL-Bibliothek oder ein geleaktes Geheimnis) finden und zur Behebung auffordern, verkleinern sie Ihre Angriffsfläche. Weniger bekannte Schwachstellen in Containern bedeuten, dass Angreifer weniger leichte Ziele haben.
Automatisieren und Zeit sparen: Anstatt manuell zu prüfen, was sich in jedem Container befindet, überlassen Sie die Schwerarbeit dem Tool. Teams erhalten konsistente, wiederholbare Scans mit minimalem Aufwand – wodurch Entwickelnde und DevOps sich auf Features konzentrieren können, anstatt Sicherheitsvorfälle zu bekämpfen.

So wählen Sie den richtigen Container-Scanner

Nicht alle Tools für Containersicherheit sind gleich. Bei der Bewertung von Scannern sollten Sie einige Schlüsselfaktoren berücksichtigen, die über die reine Frage „Findet es Schwachstellen?“ hinausgehen. Hier sind einige Kriterien, die Sie beachten sollten:

CI/CD- und Registry-Integration: Das Tool sollte sich nahtlos in Ihren Workflow einfügen – z. B. eine CLI für Pipelines, Plugins für Jenkins/GitLab oder Registry-Hooks. Wenn es Bilder bei jedem Build oder Push automatisch scannen kann, ist die Wahrscheinlichkeit höher, dass Sie es tatsächlich regelmäßig nutzen.
Genauigkeit (wenig Fehlalarme): Suchen Sie nach Scannern, die für ein hohes Signal-Rausch-Verhältnis bekannt sind. Die besten Tools verwenden Policy Engines oder intelligente Filterung, um Sie nicht mit irrelevanten Warnmeldungen zu überfluten. Weniger Fehlalarme bedeuten, dass Entwickelnde dem Tool vertrauen, anstatt es zu ignorieren.
Abdeckung von Problemen: Berücksichtigen Sie, was jeder Scanner tatsächlich prüft. Einige konzentrieren sich ausschließlich auf OS-Paket-CVEs, während andere auch Schwachstellen in Sprachbibliotheken, geheime Schlüssel oder Konfigurationsprobleme kennzeichnen. Idealerweise wählen Sie einen Scanner, der die gesamte Bandbreite der für Ihren Stack relevanten Risiken abdeckt (Images, Dateisysteme, Kubernetes-Konfigurationen usw.).
Hilfe bei der Behebung: Scannen ist Schritt eins, Beheben ist Schritt zwei. Gute Scanner bieten Anleitungen zur Behebung: z. B. „Aktualisieren Sie dieses Basis-Image auf Version X, um 10 Schwachstellen zu beheben“ oder sogar 1-Klick-Autofix-Lösungen. Dies kann den Patching-Prozess drastisch beschleunigen.
Skalierbarkeit und Management: Für größere Umgebungen sollten Sie prüfen, ob das Tool ein zentrales Dashboard oder Berichte, rollenbasierte Zugriffe und die Fähigkeit bietet, Tausende von Images kontinuierlich zu verwalten. Enterprise-Teams könnten Funktionen zur Durchsetzung von Richtlinien (wie das Blockieren eines Images, das die Kriterien nicht erfüllt) und die Integration mit Ticketing- oder SIEM-Systemen priorisieren.

Behalten Sie diese Kriterien im Hinterkopf, während Sie Optionen erkunden. Als Nächstes werfen wir einen Blick auf die besten Container-Scanning-Tools, die 2025 verfügbar sind, und was jedes davon bietet. Weiter unten werden wir die besten Scanner für spezifische Anwendungsfälle genauer betrachten: von Entwickelnden-Laptops bis hin zu Kubernetes-Clustern.

Die 13 besten Container-Scanning-Tools für 2026

(Alphabetisch nach Namen geordnet; jedes Tool bietet einzigartige Stärken bei der Sicherung von Containern.)

Zunächst ein Vergleich der Top 5 der gesamten Container-Scanning-Tools, basierend auf Funktionen wie CI/CD-Integration, Unterstützung bei der Behebung, Laufzeitsicherheit und Entwickelnden-Erfahrung.

Diese Tools sind in ihrer Klasse führend für eine Vielzahl von Anforderungen (von schnell agierenden Entwicklungsteams bis hin zu großen Unternehmenssicherheitsoperationen).

Die 5 besten Tools für Container-Scanning

Tool	CI/CD-Integration	Anleitung zur Behebung	Laufzeitsicherheit	Am besten geeignet für
Aikido	✅ 100+ Integrationen	✅ KI-Autofix	✅ In-App-Firewall	Entwicklerzentrierte Sicherheit
Aqua Security	✅ CI/CD + Registries	✅ Korrekturvorschläge	✅ Vollständiger Laufzeitschutz	Enterprise Kubernetes
Sysdig Secure	✅ Pipeline-Hooks	✅ Risikobasierte Korrekturen	✅ Falco-basierte Laufzeit	Security Operations
Snyk Container	✅ Git- & CI-Integration	✅ Basis-Image-Upgrades	❌ Nicht enthalten	DevSecOps-Teams
Trivy	✅ CLI + GitHub Actions	⚠️ Manuelle Korrekturen	⚠️ Partiell via Falco	Open-Source-Projekte

1. Aikido

Der Aikido Container-Scanner macht das Auffinden und Beheben von Container-Schwachstellen schneller, intelligenter und deutlich weniger aufwendig. Er identifiziert OS-Paket-CVEs, Bibliotheksfehler und Fehlkonfigurationen und kann dann über seine KI-Autofix-Funktion automatisch Korrekturen generieren (z. B. Vorschläge für Basis-Image-Upgrades oder Patch-Versionen).

Mit Aikido x Root können Sie jetzt noch einen Schritt weiter gehen. AutoFix Ihre Container mit standardmäßig sicheren, vorgehärteten Basis-Images. Diese Integration hält Ihr aktuelles Basis-Image intakt, während kontinuierlich von Root gepflegte Sicherheitspatches angewendet werden, wodurch sich die Patch-Zeiträume von Monaten auf Minuten verkürzen und manuelles erneutes Testen oder Ausfälle entfallen.

Aikido integriert sich dort, wo Entwickelnde arbeiten, von GitHub und CI-Pipelines bis hin zu IDEs, und macht Sicherheitsprüfungen zu einem nahtlosen Bestandteil der Entwicklung. Mit einer modernen Benutzeroberfläche und ohne aufwendige Einrichtung ist Aikido so nah an „Plug-and-Play“ Containersicherheit, wie es nur geht.

Für Organisationen, die eine zentrale Plattform zur Absicherung ihrer IT-Infrastruktur suchen, deckt die Plattform von Aikido SAST, DAST, Container-Image-Scan, Cloud-Konfigurations-Scan und vieles mehr ab und bietet Ihnen eine einheitliche Sicherheitsübersicht vom Code bis zur Laufzeit in der Cloud.

Wichtige Funktionen:

Erreichbarkeitsanalyse: Zero CVE ist nicht das Ziel. Aber sicherzustellen, dass keine Ausnutzbarkeit besteht, ist es. Aikido kombiniert über 100 benutzerdefinierte Regeln, um False Positives und irrelevante Warnungen mit seiner eigenen Erreichbarkeitsanalyse-Engine zu reduzieren.

Aikidos AI Agent: KI-gestützte Priorisierung und One-Click AutoFix für Container-Schwachstellen (reduziert die Behebung von Stunden auf Minuten)
Entwicklerfreundliche Integrationen: CI/CD-Plugins, Git-Hooks und IDE-Erweiterungen für sofortiges Feedback.
Standardmäßig sichere Images: Durch Aikido x Root kann AutoFix Ihre Container jetzt automatisch mit vorgefertigten, kontinuierlich gepatchten Basis-Images härten. Sie halten Ihren Stack stabil und sicher ohne manuelles Patchen oder riskante Upgrades.
Erkennt unbekannte Schwachstellen: Aikido prüft die gängigen Schwachstellen-Datenbanken (NVD, GHSA), geht aber noch weiter und nutzt Intel, um nicht offengelegte oder CVE-lose Schwachstellen und Malware aufzudecken, und bietet so eine breitere und proaktivere Abdeckung.
Sofortige Deduplizierung: Rauschreduzierung durch intelligente Deduplizierung und False-Positive-Filterung (Probleme werden triagiert, sodass Sie nur echte Probleme sehen). Im Gegensatz zu anderen Scannern, die Sie mit vielen separaten Problemen überladen, wenn eine betroffene Funktion mehrfach gefunden wird.
Schutz vor End-of-Life-Runtimes: Aikido schützt Ihre Anwendung vor veralteten, anfälligen Runtimes. Diese oft übersehenen Komponenten können erhebliche Sicherheitsrisiken darstellen, wenn sie unbeachtet bleiben.
Flexible Bereitstellung: Cloud-Service- und on-premise-Optionen, mit Compliance-Reporting (z. B. Generierung von SBOMs und Sicherheitsberichten für Audits).

Ideal für:

Unternehmen, die einen leistungsstarken Container-Scanner mit AI-nativen Funktionen und Anpassbarkeit wünschen.

Entwicklungsteams und Start-ups, die ein automatisiertes Sicherheitstool wünschen, das sie in wenigen Minuten nutzen können.

Es ist auch ideal für diejenigen, die kein dediziertes Sicherheitsteam haben – Aikido fungiert wie ein automatisierter Sicherheitsexperte, der immer verfügbar ist.

Aikido ist ideal, wenn Sie den besten Anbieter für Scanning, Compliance und Laufzeitschutz für VMs, Container, Serverless und mehr suchen.

Vorteile:

KI-gestütztes AutoFix reduziert die Behebungszeit drastisch
Geringes Rauschen durch Erreichbarkeitsanalyse und sofortige Deduplizierung
Vereinheitlichte Plattform für Code, Abhängigkeiten, Container und Cloud-Konfigurationen
Nahtloses Entwicklererlebnis mit CI/CD-, Git- und IDE-Integrationen
Erkennt sowohl bekannte als auch unbekannte Schwachstellen für umfassenderen Schutz

2. Anchore

Anchore ist eine etablierte Container-Scanning-Plattform, die für ihren richtlinienbasierten Ansatz bekannt ist. Sie bietet sowohl eine Open-Source-Engine (Anchore Engine, jetzt abgelöst durch das CLI-Tool Grype) als auch ein kommerzielles Unternehmensprodukt. Anchore analysiert Container-Images auf OS- und Anwendungsschwachstellen und ermöglicht es Ihnen, benutzerdefinierte Richtlinien für Ihre Images durchzusetzen‍. Zum Beispiel können Sie Regeln festlegen, um einen Build fehlschlagen zu lassen, wenn kritische Schwachstellen vorhanden sind oder nicht zugelassene Lizenzen gefunden werden.

Die Engine von Anchore führt eine schichtweise Image-Inspektion durch, wobei jede Schwachstelle der spezifischen Image-Schicht zugeordnet wird, was hilft, die Quelle genau zu bestimmen (z. B. ein Basis-Image vs. eine hinzugefügte Bibliothek). Die Enterprise-Version bietet eine elegante UI, Skalierbarkeit und Integrationen mit CI-Tools und Registries für kontinuierliches Scanning.

Wichtige Funktionen:

Robuste Richtlinien-Engine: Sicherheits-Gates durchsetzen (z. B. Images mit hochkritischen Schwachstellen oder veralteten Paketen blockieren)
Detaillierte SBOM-Generierung: Bietet Lizenz-Compliance-Prüfungen zusammen mit Schwachstellen-Scanning
CI/CD-Integration: Unterstützt Build-Time-Image-Checks (Plugins für Jenkins usw. oder Verwendung von Anchore in Pipelines über Grype CLI)
Schichtweise Schwachstellenattribution: Erleichtert die Behebung, indem genau identifiziert wird, welcher Dockerfile-Schritt das Problem verursacht hat.
Flexible Bereitstellung:Kann als gehosteter Dienst, On-Premise oder in einem Kubernetes-Cluster verwendet werden.

Am besten geeignet für:

Teams, die feingranulare Kontrolle und Compliance benötigen – z.B. Organisationen mit strengen Sicherheitsrichtlinien oder gesetzlichen Anforderungen.

Anchore zeichnet sich bei der Reduzierung von Fehlalarmen durch Richtlinien und der Sicherstellung aus, dass Images die Sicherheits-Baseline Ihrer Organisation erfüllen.

Vorteile:

Starke SBOM und Richtliniendurchsetzung
Schichtweise Schwachstellenerkenntnisse
Umfangreiche Integrationen mit CI/CD und Registries
Unterstützt Kubernetes

Nachteile:

Komplexes Setup für kleinere Teams
Nur-CLI-Erfahrung in der Open-Source-Version
Kann Rauschen erzeugen, bevor Richtlinien abgestimmt sind
Leichter Performance-Overhead während Scans

3. Aqua Security

Aqua Security ist eine führende Unternehmenslösung, die umfassende Container- und Cloud-native-Sicherheit über den gesamten Lebenszyklus bietet. Die Plattform von Aqua geht über das Image-Scanning hinaus und deckt ab:

Laufzeitschutz,
Zugriffskontrollen und
Compliance

Aquas Scanner (integriert in seine Cloud Native Application Protection Platform) prüft Container-Images anhand einer riesigen Schwachstellendatenbank (unter Nutzung von Quellen wie der NVD und Aquas eigener Forschung). Er unterstützt das Scannen von Images in Registries, auf Hosts und innerhalb von CI-Pipelines.

Aqua ist auch bekannt für seine enge Kubernetes-Integration und Admission Controls: Es kann verhindern, dass Pods ausgeführt werden, wenn ihre Images Probleme aufweisen.

Zusätzlich stellt Aqua Tools wie Trivy (Open Source) für Entwickelnde und eine Enterprise Console für die zentrale Verwaltung zur Verfügung.

Wichtige Funktionen:

Umfassendes Scannen: Nutzt eine der branchenweit umfassendsten CVE-Datenbanken zur Erkennung von Image-Schwachstellen
Kubernetes-Integration: Scannt Images in Registries oder während der Bereitstellung automatisch mit integrierter Richtliniendurchsetzung
Laufzeitschutz: Erkennt anomales Verhalten und blockiert Exploits in laufenden Containern durch Sicherheitsagenten
Compliance-Prüfungen: Umfasst CIS-Benchmarks, Secret Scanning und Konfigurationsvalidierung zur Einhaltung gesetzlicher Vorschriften
Umfassende Berichterstattung: Bietet detaillierte Dashboards zur Risikobewertung in großen Container-Umgebungen

Am besten geeignet für:

Unternehmen, die End-to-End Containersicherheit benötigen.

Vorteile:

Umfassender Image- und Laufzeitschutz
Tiefe Kubernetes- und Registry-Integration
Leistungsstarke Richtliniendurchsetzung und Zulassungskontrollen
Robuste Berichts- und Compliance-Funktionen

Nachteile:

Die Enterprise-Preise können für kleinere Teams hoch sein
Einrichtung und Konfiguration können komplex sein
Erfordert Feinabstimmung, um Alarmmüdigkeit zu vermeiden
Voller Funktionsumfang nur in der kostenpflichtigen Edition verfügbar

4. Clair

Clair ist ein Open-Source-Container-Image-Scanner, der ursprünglich von CoreOS (jetzt Teil von Red Hat) entwickelt wurde. Dank seines API-gesteuerten Designs ist er eine beliebte Wahl für die Integration von Scans in Container-Registries und CI-Systeme.

Clair scannt jede Schicht eines Container-Images auf bekannte Schwachstellen, indem es Pakete mit Schwachstellendaten aus Quellen wie Debian, Alpine, Red Hat usw. abgleicht.

Clair selbst ist eher ein Backend-Dienst, da es Scan-Ergebnisse in einer Datenbank speichert und eine API zur Abfrage dieser bereitstellt. Bemerkenswert ist, dass Red Hat’s Quay Registry Clair im Hintergrund verwendet, um Images beim Push automatisch zu scannen.

Als Open-Source-Projekt erfordert Clair etwas Einrichtung (containerisierte Dienste und eine Datenbank), und Sie müssen es in Ihren Workflow integrieren (oder etwas wie Quay verwenden). Es kommt nicht mit einer ausgefallenen Benutzeroberfläche, aber es ist ein zuverlässiger Scanner für diejenigen, die bereit sind, zu experimentieren.

Wichtige Funktionen:

Schichtweises CVE-Scannen von Images, Protokollierung der in jeder Schicht gefundenen Schwachstellen (hilft zu verstehen, welche Schicht welche CVE eingeführt hat)
Bietet eine REST-API zur Integration von Scan-Ergebnissen in andere Systeme (CI-Pipelines, Registries usw.)
Aktualisierbare Schwachstellendatenbank: bezieht Daten aus mehreren Linux-Distributions-Feeds und kann für weitere Schwachstellenquellen erweitert werden
Schnelle, inkrementelle Scans – Clair kann nur geänderte Schichten erneut scannen, anstatt jedes Mal das gesamte Image
Vollständig Open Source und kostenlos nutzbar (Apache-Lizenz), mit einer Community, die CVE-Feeds und Updates pflegt

Ideal für:

Plattformteams und DIY-Enthusiasten, die einen Scanner wünschen, den sie tief in benutzerdefinierte Workflows oder interne Plattformen integrieren können.

Clair eignet sich hervorragend für den Einsatz in einer internen Registry oder als Teil eines maßgeschneiderten CI-Systems. (Wenn Sie Red Hat-basierte Umgebungen oder Quay verwenden, ist Clair möglicherweise Ihre Standardwahl für das Schwachstellen-Scanning.)

Vorteile:

Open Source und vollständig kostenlos nutzbar
Leichtgewichtig und einfach über API zu integrieren
Inkrementelles Scannen beschleunigt wiederholte Prüfungen
Starker Community-Support und häufige Updates der Schwachstellen-Feeds

Nachteile:

Erfordert manuelle Einrichtung und Datenbankkonfiguration
Fehlt eine integrierte UI oder ein Dashboard
Begrenzte Ökosystem-Unterstützung im Vergleich zu kommerziellen Tools
Keine integrierten Funktionen zur Behebung oder Richtliniendurchsetzung

5. Docker Scout

Docker Scout ist Dockers eigenes Container-Analyse-Tool, das für die nahtlose Integration mit Docker Hub und Docker CLI entwickelt wurde. Wenn Sie als Entwickelnde Docker Desktop oder Hub verwenden, fügt Scout Sicherheitsinformationen in Ihren bestehenden Workflow ein. Es generiert automatisch eine SBOM (Software-Stückliste) für Ihre Images und kennzeichnet bekannte Schwachstellen in diesen Komponenten‍.

Eine der Stärken von Docker Scout ist das Vorschlagen von Behebungspfaden; zum Beispiel kann es ein Upgrade des Basis-Images empfehlen, das eine Reihe von Schwachstellen beseitigen würde. Scout läuft als Cloud-Dienst mit einem Web-Dashboard und ist auch in die Docker CLI integriert (Sie können Docker Scout-Befehle ausführen, um Images lokal oder in CI zu analysieren).

Das Tool verwendet kontinuierlich aktualisierte Schwachstellendaten und überwacht sogar Ihre Images über die Zeit (es benachrichtigt Sie, wenn eine neue CVE ein Image betrifft, das zuvor sauber war). Docker Scout bietet einen kostenlosen Tarif (für einzelne Entwickelnde/kleine Projekte) und kostenpflichtige Pläne für Teams.

Wichtige Funktionen:

SBOM-Generierung und -Analyse: Es zerlegt Ihr Image in Ebenen und Pakete, listet genau auf, was sich darin befindet, und hebt anfällige Komponenten hervor.
Abgleich mit Schwachstellendatenbanken mit Echtzeit-Updates (gestützt durch Docker-Datenfeeds, sodass neue CVEs schnell erkannt werden)
Empfehlungen für Korrekturen: schlägt neuere Image-Tags oder Paket-Updates vor, um Schwachstellen zu beheben (mit dem Ziel, Änderungen der Image-Größe zu minimieren)
Integrationen in das Docker-Ökosystem: Sicherheitsinformationen direkt auf Docker Hub-Seiten oder in Docker Desktop anzeigen und CLI-Befehle in CI-Pipelines verwenden
Richtlinienfunktionen zur Durchsetzung von Regeln (z. B. einen Build fehlschlagen lassen, wenn Schwachstellen einen Schwellenwert überschreiten, unter Verwendung der CLI-/CI-Integration von Docker Scout)

Ideal für:

Entwickelnde und kleine Teams, die bereits in Docker Hub/CLI investiert haben und integrierte Sicherheitsprüfungen wünschen, ohne eine separate Plattform einführen zu müssen.

Docker Scout ist eine klare Empfehlung, wenn Sie Images in den Docker Hub pushen – es liefert Ihnen sofortiges Feedback zum Image-Risiko und wie Sie es verbessern können. (Zudem ist die Basisfunktionalität für öffentliche Repos und ein privates Repo kostenlos, was es zu einer einfachen Wahl für individuelle Projekte macht.)

Vorteile:

Nahtlose Integration mit Docker Hub, CLI und Desktop
Automatische SBOM-Generierung mit Echtzeit-Schwachstellenerkenntnissen
Umsetzbare Empfehlungen zur Behebung für Basis-Images und Pakete

Nachteile:

Beschränkt auf das Docker-Ökosystem und im Hub gehostete Images
Weniger anpassbar als eigenständige Enterprise-Scanner
Richtlinienkontrollen sind grundlegend im Vergleich zu spezialisierten Tools

6. Falco

Falco unterscheidet sich etwas von den anderen auf dieser Liste – es ist kein Image-Scanner, sondern ein Open-Source-Tool zur Laufzeit-Bedrohungserkennung für Container. Wir nehmen es hier auf, weil Containersicherheit nicht bei der Build-Zeit endet und Falco zum De-facto-Standard für die Echtzeitüberwachung des Container-Verhaltens geworden ist.

Ursprünglich von Sysdig entwickelt und jetzt ein CNCF Incubating Project, läuft Falco auf Ihren Hosts oder Clustern und verwendet Kernel-Level-Daten (via eBPF oder Treiber), um zu überwachen, was Container tun. Es wird mit einer Reihe von Regeln geliefert, die verdächtige Aktivitäten erkennen, wie z. B.: ein Container, der eine Shell startet oder System-Binärdateien modifiziert, unerwartete Netzwerkverbindungen, das Lesen sensibler Dateien usw. Wenn Falcos Regeln ausgelöst werden, kann es Warnungen generieren oder in Incident-Response-Workflows eingespeist werden.

Während Falco Ihnen nichts über bekannte CVEs in Ihren Images sagt, informiert es Sie, wenn ein Container etwas tut, was er nicht sollte, wie z. B. die Anzeige eines aktiven Exploits oder einer Fehlkonfiguration.

Wichtige Funktionen:

Überwacht laufende Container (und Hosts) auf Systemaufrufebene, erkennt Anomalien in Echtzeit (z. B. Krypto-Mining-Verhalten, Dateizugriffsverletzungen)
Standard-Regelsatz für gängige Bedrohungen, plus hochgradig anpassbare Regeln (schreiben Sie Ihre eigenen, um Falco an das erwartete Verhalten Ihrer Anwendung anzupassen)
Kubernetes-Audit-Log-Integration: Falco kann auch K8s-Ereignisse aufnehmen, um Dinge wie das Ausführen von Befehlen in Pods oder Änderungen in Pod-Sicherheitsrichtlinien zu erkennen
Open Source und Teil der CNCF, was eine aktive Community und kontinuierliche Verbesserung bedeutet; Beiträge neuer Regeln für aufkommende Bedrohungen
Leichtgewichtige Bereitstellung als Daemonset in Kubernetes oder als Systemdienst auf jedem Linux. Alarme können zur Reaktion an STDOUT, Slack oder SIEM-Systeme gesendet werden.

Ideal für:

Teams, die Laufzeit-Containersicherheit zur Ergänzung des Image-Scannings benötigen.

Wenn Sie wissen möchten, wann ein Container sich fehlerhaft verhält (sei es aufgrund eines Zero-Day-Exploits, einer Insider-Bedrohung oder einfach einer fehlerhaften Konfiguration), ist Falco die bevorzugte Lösung.

Es ist beliebt in Kubernetes-Umgebungen, wo Sie eine zusätzliche Verteidigungslinie über Admission Controls hinaus wünschen.

Vorteile:

Echtzeit-Erkennung von abnormaler Container- und Host-Aktivität
Hochgradig anpassbare Regel-Engine für maßgeschneiderte Bedrohungserkennung
Leichtgewichtig und einfach als DaemonSet oder Systemdienst bereitzustellen
Starke Community-Unterstützung unter der CNCF mit häufigen Regel-Updates

Nachteile:

Erkennt keine bekannten CVEs oder führt kein Image-Scanning durch
Erfordert Feinabstimmung zur Reduzierung von Rauschen und zur Vermeidung von Fehlalarmen
Begrenzte Sichtbarkeit außerhalb von Linux-basierten Umgebungen
Keine integrierte Behebung — Integration mit externen Alarmierungs- oder Reaktionstools

7. Grype

Grype ist ein schneller und benutzerfreundlicher Open-Source-Schwachstellenscanner für Container-Images und Dateisysteme, erstellt von Anchore. Es ist im Wesentlichen der Nachfolger des älteren Open-Source-Projekts Anchore Engine, destilliert zu einem einfachen CLI-Tool.

Mit Grype können Sie auf ein Docker-Image (per Tag oder Tar-Datei) oder sogar ein Dateisystemverzeichnis zeigen, und es wird alles darin aufzählen und bekannte Schwachstellen finden. Es greift auf Anchores robuste Schwachstellen-Feeds für mehrere Betriebssysteme und Sprach-Ökosysteme zu. Einer der Hauptschwerpunkte von Grype ist die Genauigkeit, da es sich bemüht, False Positives durch präzise Übereinstimmung von Paketversionen zu minimieren. Es unterstützt auch aufkommende Standards wie VEX (Vulnerability Exploitability eXchange), um bestimmte Schwachstellen als nicht zutreffend oder behoben zu kennzeichnen.

Grype funktioniert gut in CI-Pipelines (es gibt JSON- oder Tabellenergebnisse aus) und lässt sich mit Anchores Syft-Tool kombinieren (das SBOMs generiert). Im Wesentlichen bietet Grype einen kostenlosen Scanner, den Sie mit minimalem Aufwand skripten können.

Wichtige Funktionen:

Scannt viele Image-Quellen: Docker-/OCI-Images (lokal oder remote), Dateiverzeichnisse, SBOM-Dateien – was es vielseitig für verschiedene Anwendungsfälle macht
Unterstützt OS-Pakete und sprachspezifische Abhängigkeiten (z. B. findet es anfällige Gems, npm-Pakete usw. in Images)
Fokus auf wenige False Positives und relevante Ergebnisse – Grypes Schwachstellenabgleich ist recht intelligent und reduziert Rauschen
Regelmäßig aktualisierte Schwachstellendatenbank (kann online mit Anchores Feed oder offline mit heruntergeladener DB arbeiten)
Ausgabe in mehreren Formaten (JSON, CycloneDX SBOM, Textzusammenfassungen) für die einfache Integration in Pipelines und andere Tools

Ideal für:

Entwickelnde oder DevOps-Ingenieure, die einen schnörkellosen, zuverlässigen Scanner zur Einbettung in die Automatisierung suchen.

Wenn Sie ein Open-Source-Tool suchen, das Sie in einer GitHub Action oder einem Shell-Skript ausführen können, um Builds bei Schwachstellen mit hohem Schweregrad fehlschlagen zu lassen, ist Grype ideal.

Es eignet sich auch hervorragend für das Scannen von Dateisysteminhalten (nicht nur Container-Images), was in CI-Umgebungen nützlich für das Scannen von Anwendungsabhängigkeiten sein kann.

Vorteile:

Schnelles und leichtgewichtiges CLI-Tool für schnelle Schwachstellenscans
Geringe Fehlalarme mit präzisem Paket- und Versionsabgleich
Unterstützt mehrere Eingabetypen einschließlich Images, Verzeichnisse und SBOMs
Lässt sich leicht in CI/CD integrieren mit JSON- und CycloneDX-Ausgaben

Nachteile:

Keine Benutzeroberfläche oder zentrales Dashboard zur Ergebnisverwaltung
Beschränkt auf Schwachstellenscans (keine Laufzeit- oder Compliance-Funktionen)
Erfordert manuelle Einrichtung für Offline-Datenbank-Updates
Die Ausgabe kann ohne ordnungsgemäße Filterung oder Automatisierung ausführlich sein

8. OpenSCAP

OpenSCAP ist ein Sicherheits-Auditing-Tool aus der Linux-Welt, das zwar nicht ausschließlich für Container gedacht ist, aber zum Scannen von Container-Images auf Compliance und Schwachstellen verwendet werden kann.

Unterstützt von Red Hat implementiert OpenSCAP den SCAP-Standard (Security Content Automation Protocol) und wird mit einer Bibliothek von Sicherheitsprofilen geliefert (z. B. DISA STIGs, PCI-DSS-Prüfungen usw.). Mit OpenSCAP können Sie ein Image oder einen laufenden Container-Host anhand dieser Profile bewerten, um zu prüfen, ob es den Best Practices entspricht. Speziell für Container-Images kann OpenSCAP nach bekannten CVEs scannen und auch die Konfigurationshärtung überprüfen (z. B. sicherstellen, dass bestimmte unsichere Dienste nicht vorhanden sind). Es wird oft mit Red Hat-basierten Containern verwendet (es gibt sogar ein OpenSCAP Container-Image, das andere Images scannen kann). Das Tool ist sehr leistungsfähig für Compliance-Verantwortliche, kann aber überdimensioniert sein, wenn man nur einen schnellen Schwachstellen-Scan durchführen möchte.

Wichtige Funktionen:

Compliance-Scanning: Validierung von Containern oder Hosts anhand vordefinierter Sicherheits-Baselines (CIS-Benchmarks, Regierungsstandards usw.)
Schwachstellen-Scanning unter Verwendung von Red Hats CVE-Daten (besonders nützlich für RHEL/UBI Container-Images, um anwendbare Errata zu finden)
Kommandozeilen-Tool (oscap), das Container-Tarballs oder sogar Docker-Images anhand ihrer ID scannen und dabei HTML- oder XML-Berichte erstellen kann
Integration mit Red Hat-Tools (z. B. Red Hat Satellite, Foreman und innerhalb von OpenShift-Pipelines für Sicherheitsprüfungen)
Open-Source-Framework, erweiterbar durch das Schreiben eigener XCCDF/OVAL-Checks bei Bedarf

Ideal für:

Sicherheits- und Compliance-Teams von Unternehmen, die Container-Images anhand strenger Standards bewerten müssen.

Wenn Ihre Organisation hohe Audit-Anforderungen hat (z. B. im Regierungs- oder Finanzsektor), bietet OpenSCAP eine bewährte Methode, um Container sowohl auf Schwachstellen als auch auf Konfigurations-Compliance zu überprüfen‍.

Vorteile:

Unterstützt von Red Hat und hält sich an Industriestandards für Compliance
Hochgradig anpassbar durch XCCDF- und OVAL-Definitionen
Generiert detaillierte HTML- und XML-Berichte für Audits und Dokumentation

Nachteile:

Steilere Lernkurve und CLI-lastiger Workflow
Begrenzte Benutzeroberfläche und entwickelndenfreundliche Integrationen
Am besten geeignet für Red Hat-basierte Umgebungen
Überdimensioniert für Teams, die nur schnelle Schwachstellenscans benötigen

9. Qualys Containersicherheit

Qualys Containersicherheit ist Teil der Cloud-Sicherheits-Suite von Qualys und bringt deren Schwachstellenmanagement-Expertise in die Container-Welt. Qualys CS bietet einen zentralisierten Cloud-Service, um Container und Images in Ihren Umgebungen (On-Prem, Cloud, CI-Pipelines) zu erkennen und auf Schwachstellen und Fehlkonfigurationen zu scannen.

Qualys verwendet leichte Container-Sensoren, die Sie auf Hosts oder Clustern bereitstellen. Diese erkennen dann automatisch laufende Container, Images und sogar Orchestrator-Details.

Schwachstellendaten werden mit der riesigen Cloud-Datenbank von Qualys korreliert, und Sie erhalten eine zentrale Übersicht über alle Container-Assets und deren Sicherheitslage. Qualys Containersicherheit kann auch Compliance-Checks (wie CIS Docker Benchmark-Scanning) durchführen und integriert sich in CI/CD (sie bieten beispielsweise ein Jenkins-Plugin an, um Images während des Build-Prozesses zu scannen).

Als Enterprise-Produkt bietet es die üblichen Qualys-Stärken: robuste Berichterstattung, Alarmierung und die Fähigkeit, große Umgebungen zu handhaben.

Wichtige Funktionen:

Automatische Erkennung und Inventarisierung von Containern und Images in Ihrer gesamten Infrastruktur. Sie wissen, welche Images wo laufen und welche Schwachstellen sie aufweisen.
Scannen von Images in Registries (verbindet sich mit gängigen Registries, um neue Images beim Push zu scannen) sowie auf Hosts
Container-Laufzeitsicherheitsfunktionen: können Probleme in laufenden Container-Instanzen erkennen und alarmieren (und sogar Container blockieren, die von ihrer Image-Baseline abweichen)
Enge Integration in DevOps-Pipelines über API und native Plugins (damit Entwickler Feedback in ihrem Build-Prozess erhalten)
Richtliniengesteuerte Durchsetzung und Compliance-Berichterstattung unter Verwendung der Kontrollbibliothek von Qualys (z. B. Untersagung der Ausführung von Containern mit kritischen Schwachstellen, Sicherstellung sicherer Docker-Daemon-Konfigurationen usw.)

Ideal für:

Große Unternehmen und regulierte Branchen, die Qualys bereits für das Schwachstellenmanagement nutzen und diese Transparenz auf Container ausweiten möchten.

Wenn Sie eine vereinheitlichte Berichterstattung über VM- und Container-Schwachstellen benötigen, ist Qualys eine gute Wahl.

Es ist auch für Organisationen mit Tausenden von Containern geeignet, bei denen die automatisierte Erkennung ebenso wichtig ist wie das Scannen (Qualys hilft Ihnen, nichts zu übersehen, was in Ihrer Umgebung läuft).

Vorteile:

Vereinheitlichte Transparenz über VMs, Hosts und Container hinweg in einem Dashboard
Automatisierte Erkennung von Container-Assets in hybriden Umgebungen
Nahtlose CI/CD- und Registry-Integrationen für kontinuierliches Scannen

Nachteile:

Primär auf große Unternehmen ausgerichtet, was es für kleinere Teams aufwendig macht
Die anfängliche Einrichtung und Bereitstellung kann bei Skalierung komplex sein
Preis- und Lizenzdetails sind undurchsichtig

10. Snyk Container

Snyk Container ist ein Containersicherheitsprodukt von Snyk, einem Unternehmen, das Entwickelnden-freundliche Sicherheitstools anbieten möchte. Snyk Container konzentriert sich auf die Integration in den Entwicklungsprozess. Es kann Container-Images auf Schwachstellen in OS-Paketen und Anwendungsbibliotheken scannen, unter Nutzung der Schwachstellendatenbank von Snyk und Open Source Intelligence.

Snyks Vorteil liegt im Kontext und in der Priorisierung: Es hilft Entwickelnden zu priorisieren, welche Schwachstellen wirklich relevant sind (zum Beispiel hervorheben, ob eine anfällige Bibliothek im Image tatsächlich von der Anwendung verwendet wird). Es bietet auch Anleitungen zur Behebung – oft durch Vorschläge für Basis-Image-Upgrades, die viele Schwachstellen auf einmal reduzieren.

Snyk Container lässt sich in CI/CD integrieren (mit Plugins und CLI) und kann Images über die Zeit überwachen (Warnungen senden, wenn neue Schwachstellen Ihr Image betreffen). Es kann sogar eine Verbindung zu Kubernetes-Clustern herstellen, um laufende Workloads kontinuierlich auf Probleme zu überwachen.

Wichtige Funktionen:

CI/CD- und Git-Integration: Entwickelnde können Images in ihren Pipelines scannen oder sogar Scans über GitHub-/GitLab-Integrationen auslösen, um Probleme vor dem Merge zu erkennen.
Entwickelnde-zentrierte Behebungshinweise (z. B. „Wechseln Sie zu diesem schlankeren Basis-Image, um 30 Probleme zu beseitigen“) und die Möglichkeit, automatisierte Fix-PRs für Basis-Image-Updates zu erstellen.
Transparenz in Kubernetes: Snyk kann sich mit einem K8s-Cluster verbinden und alle laufenden Images sowie deren Schwachstellen auflisten, wobei dies mit den Deployment-Konfigurationen verknüpft wird (hilft, Dev und Ops zu verbinden).

Compliance-Funktionen wie Lizenz-Scanning und Konfigurationsprüfungen, zusätzlich zum Schwachstellen-Scanning (da es auf den Software-Kompositionsanalyse-Wurzeln von Snyk aufbaut).

Ideal für:

DevOps-Teams, die Security nach links verschieben und sie zu einem Teil der Entwicklung machen wollen.

Vorteile:

Tiefe Entwickelnde-Integration mit Git, CI/CD und Kubernetes.
Umsetzbare Behebungshinweise und automatisierte PRs für Basis-Image-Updates.
Intuitives Dashboard für Schwachstellen-Tracking und -Reporting.

Nachteile:

Kostenpflichtige Pläne für erweiterte Funktionen und größere Teams erforderlich.
Bekannt für sein hohes Aufkommen an Fehlalarmen.
Nur-Cloud-Dienst ohne On-Premise-Bereitstellungsoptionen.
Weniger geeignet für stark regulierte Umgebungen, die ein vollständiges Offline-Scanning benötigen.

11. Black Duck

Black Duck ist ein Veteran im Bereich der Anwendungssicherheit, traditionell bekannt für Open-Source-Lizenz-Compliance und SCA (Software-Kompositionsanalyse). Im Container-Kontext kann Black Duck Container-Images scannen, um alle Open-Source-Komponenten und deren Schwachstellen zu identifizieren. Es führt im Wesentlichen eine tiefgehende Software-Kompositionsanalyse Ihres Images durch: Es extrahiert die Bill of Materials (alle Bibliotheken, Pakete und OS-Komponenten) und ordnet diese der Black Duck Knowledge Base für Open-Source-Risiken zu.

Eine der Stärken von Black Duck ist die Lizenz-Compliance – wenn Sie also Bedenken hinsichtlich der Lizenzierung von Komponenten in Ihren Containern haben (z. B. Vermeidung von GPL-Code), ist es sehr nützlich. Das Container-Scanning von Black Duck verwendet oft eine Komponente namens „Black Duck Docker Inspector“, um Images Schicht für Schicht zu analysieren. Die Ergebnisse fließen in den Black Duck Hub (zentrales Dashboard) ein, wo Sicherheits- und Rechtsteams Schwachstelleninformationen, Richtlinienverstöße und sogar Risikobewertungen einsehen können. Dieses Tool wird normalerweise On-Premise oder als Managed Service bereitgestellt und richtet sich an große Organisationen.

Wichtige Funktionen:

Umfassende BOM-Analyse: identifiziert die gesamte Open-Source-Software im Image (bis hin zu Sprachbibliotheken) und kennzeichnet bekannte Schwachstellen und Lizenzen
Schichtspezifische Einblicke: Zeigt, welche Schicht welche Komponenten eingebracht hat und somit, wo eine Schwachstelle eingeführt wurde (nützlich für die Planung der Behebung)
Richtlinienverwaltung: Sie können Richtlinien definieren (z. B. „keine Komponenten mit GPL-Lizenz“ oder „keine Schwachstellen über mittlerer Schwere“) und Black Duck kennzeichnet Images, die diese verletzen
Integration in CI-Pipelines über das Synopsys Detect Plugin/CLI, sodass Sie Builds fehlschlagen lassen oder Berichte während des Build-Prozesses erhalten können
Links zu detaillierten Behebungsinformationen in der Black Duck-Datenbank und kann Issues oder Pull Requests zur Aktualisierung von Komponenten erstellen

Ideal für:

Unternehmen mit einem starken Fokus auf Open-Source-Governance.

Wenn die Verfolgung von Lizenzen und eine umfassende Sicht auf Komponentenrisiken genauso wichtig ist wie das Aufspüren von CVEs, ist Black Duck ein starker Kandidat.

Es wird häufig in Branchen wie der Automobilindustrie, Luft- und Raumfahrt oder anderen mit strengen Compliance-Anforderungen für Softwarekomponenten eingesetzt. Vorteile:

Umfassende SCA- und Lizenz-Compliance-Analyse für Container
Schichtweise Einblicke in Komponentenherkunft und Schwachstellen
Leistungsstarke Richtlinienverwaltung für Sicherheits- und rechtliche Compliance

Nachteile:

Komplexere Einrichtung und höhere Ressourcenanforderungen
Primär ausgerichtet auf große Unternehmen mit Compliance-Anforderungen
Langsamere Scanzeiten im Vergleich zu leichtgewichtigen Open-Source-Scannern
Die Enterprise-Preise können für kleinere Teams hoch sein

12. Sysdig Secure

Sysdig Secure ist eine Containersicherheitsplattform, die sowohl Image-Scanning als auch Laufzeitsicherheit in einem Produkt vereint (oft als CNAPP – Cloud Native App Protection Platform bezeichnet).

Mit Sysdig Secure können Sie Container-Images in Ihrer CI-Pipeline oder in Registries auf Schwachstellen scannen und auch Richtlinien durchsetzen, um Deployments zu blockieren, die Ihre Kriterien nicht erfüllen. Aber Sysdig geht noch weiter: Unter Verwendung der Open-Source-Engine Falco überwacht es kontinuierlich laufende Container, um anomales Verhalten zu erkennen. Diese Kombination bedeutet, dass Sysdig Secure Ihnen Feedback zur Build-Zeit und Schutz zur Laufzeit bietet‍.

Zu den herausragenden Funktionen gehören die Verknüpfung von Scan-Ergebnissen mit Kubernetes-Deployments (sodass Sie sehen können, welche laufenden Workloads anfällige Images aufweisen) und die Zuordnung von Ergebnissen zu Compliance-Standards (PCI, NIST usw.) für Berichte.

Sysdig bietet auch eine nützliche Funktion zur Vorschlag von Korrekturen, z.B. indem es Ihnen mitteilt, welche Basis-Image-Version bestimmte Schwachstellen beheben würde. Als kommerzielles Tool wird es mit einer Web-UI, API und Integrationen mit CI/CD- und Registry-Webhooks geliefert.

Wichtige Funktionen:

Image-Scanning + Laufzeitsicherheit in einem: Schwachstellenscans plus Echtzeit-Syscall-Monitoring (über Falco), um Angriffe im Moment ihres Auftretens zu erkennen‍
Kubernetes-fähige Transparenz: Korreliert Images und Container mit Kubernetes-Metadaten (Namespaces, Deployments), wodurch es einfacher wird, Korrekturen für aktiv laufende Dienste zu priorisieren
Richtlinien-Engine zur Durchsetzung der Sicherheit während des Builds und Deployments (z.B. verhindern, dass ein Pod startet, wenn er eine blockierte Schwachstelle aufweist oder gegen Compliance-Regeln verstößt)
Compliance-Mapping und Berichterstattung – vorkonfigurierte Prüfungen für Standards wie PCI, HIPAA und benutzerdefinierte Regeln, mit Nachweisen aus Image-Scans und Laufzeitdaten
Funktionen zur Incident Response: Sysdig kann detaillierte Aktivitäten (Syscall-Captures) rund um Sicherheitsereignisse aufzeichnen, was bei der forensischen Analyse hilft, wenn ein Container kompromittiert wird

Ideal für:

Es eignet sich besonders gut für Kubernetes-Umgebungen, in denen Laufzeittransparenz und Image-Scanning Hand in Hand gehen müssen, um die Pipeline wirklich abzusichern.

Vorteile:

Vereinheitlichte Plattform, die Image-Scanning, Laufzeitsicherheit und Compliance kombiniert
Umfassender Kubernetes-Kontext zur Priorisierung von Schwachstellen in aktiven Workloads
Basierend auf Falco für Echtzeit-Bedrohungserkennung und Verhaltensüberwachung

Nachteile:

Unternehmensorientierte Plattform mit höheren Preisen als eigenständige Scanner
Einrichtung und Feinabstimmung können für kleinere Teams komplex sein
Erfordert fortlaufendes Regelmanagement, um Alert Fatigue zu vermeiden

13. Trivy

Trivy (von Aqua Security) hat sich aufgrund seiner Benutzerfreundlichkeit und breiten Abdeckung zu einem der beliebtesten Open-Source-Container-Scanner entwickelt. Es ist ein einzelnes Binary, das keine komplexe Einrichtung erfordert – Sie können trivy image myapp:latest ausführen und erhalten in Sekundenschnelle eine Liste von Schwachstellen.

Trivy ist dafür bekannt, alles zu scannen: nicht nur Container-Images, sondern auch Dateisysteme, Git-Repos, Dockerfiles, Kubernetes-Manifeste und mehr. Das macht es zu einem praktischen Schweizer Taschenmesser für Sicherheitsscans in DevOps. Es zieht Schwachstellendaten aus vielen Quellen (Linux-Distro-Advisories, GitHub-Sicherheits-Advisories für Sprachabhängigkeiten usw.) und scannt sogar Infrastructure-as-Code-Konfigurationen auf Probleme, wenn Sie es anweisen.

Trivy kann Ergebnisse in Tabellenform oder als JSON ausgeben (und unterstützt die Generierung von SBOMs in SPDX/CycloneDX). Es wird auch als Engine für andere Tools verwendet (zum Beispiel verwendet die Harbor Registry Trivy als Plug-in-Scanner, und Kubernetes Lens-Tools integrieren es).

Als Open-Source-Lösung ist es komplett kostenlos und wird von der Community gepflegt (obwohl Aqua eine kostenpflichtige Version mit einer UI namens Trivy Premium anbietet).

Wichtige Funktionen:

Sehr schnelle und einfache CLI – keine Voraussetzungen, aktuelle Schwachstellendatenbank wird beim ersten Start automatisch heruntergeladen
Scannt verschiedene Zieltypen: Container-Images (lokal oder remote), Verzeichnisse, Konfigurationsdateien (K8s YAML, Terraform) und sogar aktive Kubernetes-Cluster auf Workload-Probleme
Hohe Genauigkeit und Abdeckung durch eine breite Palette von Schwachstellenquellen und fein abgestimmtes Parsing (Trivy wird dafür gelobt, viele Ergebnisse ohne viele Fehlalarme zu finden)
Kann SBOMs generieren und SBOM-Dateien auf Schwachstellen scannen, wodurch moderne Workflows für die Sicherheit der Lieferkette unterstützt werden
Lässt sich einfach in CI integrieren (einfach die Binärdatei hinzufügen und in einer Pipeline ausführen) und verfügt über eine erweiterbare Ausgabe, die in Tools wie Grafana oder Slack-Benachrichtigungen eingespeist werden kann

Ideal für:

Ehrlich gesagt, jeder – von Einzelentwickelnden bis hin zu Großunternehmen.

Wenn Sie einen schnellen, zuverlässigen Scan eines Container-Images auf bekannte Probleme benötigen, ist Trivy oft das erste Tool der Wahl.

Es ist kostenlos, daher ideal für Teams mit begrenztem Budget oder für diejenigen, die gerade erst beginnen, Sicherheit in ihre Pipelines zu integrieren.

Und selbst etablierte Organisationen nutzen Trivy für spezifische Anwendungsfälle (z. B. regelmäßige Scans von Konfigurationen oder als Ergänzung zu kommerziellen Scannern).

Vorteile:

Seine Flexibilität, mehr als nur Images zu scannen, macht es auch zu einem wertvollen allgemeinen Sicherheitstool in jedem DevOps-Toolkit.
Schnell, leichtgewichtig und einfach mit einem einzigen CLI-Befehl auszuführen
Genaue Ergebnisse mit minimalen Fehlalarmen
Komplett kostenlos und Open Source mit starker Community-Unterstützung

Nachteile:

Nur CLI-Schnittstelle, es sei denn, die kostenpflichtige Trivy Premium UI wird verwendet
Benötigt Internetzugang, um Schwachstellendatenbanken zu aktualisieren
Große Scans können beim ersten Durchlauf aufgrund von Datenbank-Downloads langsamer sein

Nachdem wir die wichtigsten Tools im Allgemeinen behandelt haben, gehen wir nun auf die besten Optionen für spezifische Szenarien ein. Je nachdem, ob Sie ein Entwickelnde sind, der an einem persönlichen Projekt arbeitet, ein Startup-CTO oder Tausende von Containern in der Produktion betreibt, kann die ideale Container-Scanning-Lösung variieren.

Im Folgenden stellen wir die besten Container-Scanner für verschiedene Anwendungsfälle vor, mit einer kurzen Begründung für jeden.

Die 5 besten Container-Scanning-Tools für Entwickelnde

Entwickelnde wünschen sich Tools, die Sicherheit so reibungslos wie möglich gestalten. Die besten Container-Scanner für Entwickelnde sind diejenigen, die sich ohne viel Einrichtung oder Aufwand in Coding- und Build-Workflows integrieren lassen.

Wichtige Anforderungen sind schnelles Feedback (niemand möchte einen Scan, der 30 Minuten dauert), einfache CI/CD-Integration und umsetzbare Ergebnisse (vorzugsweise mit Korrekturvorschlägen), damit das Beheben von Schwachstellen als Teil des normalen Entwicklungszyklus empfunden wird. Auch ein gewisses Maß an entwickelnden-zentrierter Finesse – wie ein IDE-Plugin oder eine benutzerfreundliche CLI – ist sehr hilfreich.

Hier sind einige Top-Empfehlungen speziell für Entwickelnde:‍