Czy sam Trivy wystarczy?

Skaner mówi Ci, co jest podatne na danej maszynie w tej chwili. Audyt pyta o co innego: jak wygląda i jak jest udokumentowany proces zarządzania podatnościami w całej firmie. Poniżej uczciwe porównanie trzech sposobów odpowiedzi na to pytanie — razem z tym, gdzie każdy z nich, także nasz, ma braki.

  1. Model i cena

    Samodzielny Trivy
    Darmowy, licencja Apache-2.0. Brak opłat licencyjnych.
    Secvalis
    Abonament SaaS. Trzy plany z ceną podaną wprost na stronie (od 199 zł/mies.), czwarty — Enterprise — wyceniany indywidualnie.
    Skanery enterprise
    Ceny zwykle niejawne — poznanie kosztu zazwyczaj wymaga rozmowy handlowej. Często kontrakty roczne.
  2. Czas wdrożenia

    Samodzielny Trivy
    Pojedynczy skan: natychmiast. Zbudowanie z niego systemu zarządzania: dni lub tygodnie pracy inżyniera.
    Secvalis
    Rejestracja i uruchomienie jednego skryptu na maszynie. Skrypt jest jawny — możesz go przeczytać przed uruchomieniem.
    Skanery enterprise
    Zwykle od kilku tygodni: proces zakupowy, integracje sieciowe, często płatne usługi wdrożeniowe.
  3. Koszt całkowity (TCO)

    Samodzielny Trivy
    Licencja kosztuje 0 zł. Koszt to godziny pracy inżyniera potrzebne, by zbudować wokół skanera bazę wyników, panel i powiadomienia — i utrzymywać je dalej.
    Secvalis
    Abonament plus czas administratora liczony w minutach tygodniowo.
    Skanery enterprise
    Licencja, a często również wdrożenie i szkolenia. Zwykle bariera dla mniejszych podmiotów.
  4. Utrzymanie

    Samodzielny Trivy
    Po Twojej stronie w całości: skaner, bazy, skrypty spinające go z resztą firmy. Zmiana formatu wyniku w nowej wersji potrafi zepsuć Twoje skrypty.
    Secvalis
    Platforma, bazy podatności (NVD, CISA KEV, EPSS) i parsery są po naszej stronie. Po Twojej: jeden skrypt w cronie na maszynę. Przy większej flocie to jeden zasób w Puppet lub Ansible — aktualizacja oznacza podmianę jednego pliku.
    Skanery enterprise
    Konfiguracja polityk i komponentów zwykle wymaga dedykowanej osoby.
  5. Kto to obsługuje

    Samodzielny Trivy
    Inżynier, który czyta surowy JSON i pisze własne automatyzacje.
    Secvalis
    Administrator IT. Priorytety (CVSS, EPSS, CISA KEV) wylicza platforma — widzisz, co łatać najpierw.
    Skanery enterprise
    Zwykle analityk bezpieczeństwa po szkoleniu z konkretnej platformy.
  6. Interfejs

    Samodzielny Trivy
    Wiersz poleceń i pliki JSON. Bez panelu i bez kont użytkowników.
    Secvalis
    Panel webowy: flota, podatności, trendy, role i uprawnienia.
    Skanery enterprise
    Rozbudowany panel. Bogactwo funkcji bywa okupione czasem wdrożenia i nauki.
  7. Decyzje i workflow (triage)

    Samodzielny Trivy
    Brak pojęcia stanu. Każdy skan zaczyna od zera; wyciszenie podatności to edycja pliku .trivyignore na każdej maszynie osobno.
    Secvalis
    Statusy podatności (nowa, w trakcie, naprawiona) oraz osobna ścieżka akceptacji ryzyka — z właścicielem, uzasadnieniem, terminem i środkami kompensującymi.
    Skanery enterprise
    Rozbudowany workflow, często wymagający integracji z zewnętrznym systemem zgłoszeń.
  8. Dowody dla audytora

    Samodzielny Trivy
    Surowe pliki JSON lub SBOM. Na pytanie „co zrobiliście z tą podatnością trzy miesiące temu” skaner nie odpowiada.
    Secvalis
    Raporty PDF dla zarządu i audytora, kompletny dziennik działań (kto, co, kiedy, z jakim uzasadnieniem) z eksportem CSV i PDF, oraz osobna rola audytora tylko do odczytu.
    Skanery enterprise
    Obszerne raporty, bywa że zbyt techniczne dla odbiorcy nietechnicznego.
  9. Ustawa o KSC, NIS2, ISO 27001

    Samodzielny Trivy
    Wykrywa luki, ale nie mapuje ich na wymagania i nie wytwarza dowodów zgodności.
    Secvalis
    Zaprojektowany pod polską ustawę o KSC, NIS2 i ISO 27001 (A.8.8): mapowanie kontroli, terminarz ustawowy i pakiet dowodów audytowych.
    Skanery enterprise
    Zgodność mapowana zwykle na standardy międzynarodowe; polska ustawa o KSC rzadko wprost.
  10. Powiadomienia

    Samodzielny Trivy
    Do oskryptowania samodzielnie.
    Secvalis
    Slack, Microsoft Teams, Discord, Telegram, webhooki i podsumowania e-mail — gotowe.
    Skanery enterprise
    Szerokie możliwości; konektory bywają płatne osobno.
  11. Obciążenie serwera

    Samodzielny Trivy
    Uruchamiany na żądanie, nic nie działa w tle.
    Secvalis
    Bez agenta: skrypt w cronie wykonuje skan, wysyła wyniki i kończy działanie. Żadnego stałego procesu.
    Skanery enterprise
    Zwykle wymagają zainstalowania agenta działającego w tle.
  12. Dane i RODO

    Samodzielny Trivy
    Wyniki zostają lokalnie — ale nie ma centralnego obrazu całej infrastruktury.
    Secvalis
    Hosting w OVHcloud w Warszawie (Polska, EOG). Skan wykonuje się lokalnie; do platformy trafiają metadane wyników — nazwa hosta, pakiety, wersje i dopasowane CVE. Nigdy pliki, hasła, konfiguracje ani kod źródłowy. Umowa powierzenia (DPA) zawierana elektronicznie.
    Skanery enterprise
    Dane często trafiają do chmur poza EOG, co bywa problemem dla podmiotów kluczowych.
  13. Czego brakuje

    Samodzielny Trivy
    Panelu, historii, ról i dowodów. Wszystko to musisz zbudować i utrzymać sam.
    Secvalis
    Nie wspieramy jeszcze Windows Server (jest na roadmapie) ani sieci w pełni odciętych od internetu — skrypt potrzebuje wyjścia HTTPS. Jesteśmy młodym produktem.
    Skanery enterprise
    Przejrzystości cen i elastyczności dla mniejszych organizacji.

Kiedy sam Trivy wystarczy

Jeśli masz kilka maszyn, nikt nie żąda od Ciebie dowodów, a czytanie JSON-a nie sprawia Ci trudności — sam Trivy jest właściwym narzędziem i nie potrzebujesz nas. Podobnie, gdy masz już zespół, który zbudował wokół skanera własną agregację i raportowanie, i chce je dalej utrzymywać.

Secvalis zaczyna się opłacać, gdy ktoś zażąda dowodu — audytor, klient, regulator — albo gdy flota urośnie ponad to, co jedna osoba jest w stanie utrzymać w głowie.

A co z open-source platformami do zarządzania podatnościami?

Projekty takie jak DefectDojo dają warstwę procesu, której goły skaner nie ma, a licencja nic nie kosztuje. To znakomity wybór, jeśli masz zespół zdolny je prowadzić: ceną jest czas tego zespołu — instalacja, aktualizacje, kopie zapasowe, dostępność i bezpieczeństwo samej platformy. Nie ma też dostawcy, do którego zadzwonisz, gdy coś przestanie działać, ani zobowiązania wsparcia.

Pytanie nie brzmi, które oprogramowanie jest lepsze, tylko czyj czas chcesz na to wydać: swoich inżynierów czy naszych.

Policz sam

Nie podamy Ci liczby, ile kosztuje układanka „skaner plus skrypty”, bo nie znamy Twoich stawek. Oto wzór i nasze założenia — podstaw swoje:

koszt = godziny inżyniera x stawka + godziny utrzymania miesięcznie x 12 x stawka

Nasze założenie: około 40 godzin na zbudowanie agregacji wyników, bazy, powiadomień i czytelnego widoku nad skanerem, plus kilka godzin miesięcznie na utrzymanie tego przy życiu, gdy zmieniają się formaty i wymagania. To szacunek, nie pomiar — Twoje liczby mogą być niższe, a jeśli są, to realny argument, żeby zrobić to samodzielnie.

Trivy to projekt open source firmy Aqua Security, rozpowszechniany na licencji Apache-2.0. Secvalis korzysta z Trivy pod spodem — porównujemy skaner z procesem zbudowanym na nim, a nie skaner ze skanerem.

Kolumna „skanery enterprise” opisuje kategorię, nie konkretny produkt. Oferty komercyjne różnią się między sobą, dlatego każde twierdzenie o nich jest świadomie zastrzeżone. Zweryfikuj je u dostawcy, którego naprawdę rozważasz.

Ciekawi Cię, co dokładnie opuszcza Twoją maszynę? Wymieniamy każde wysyłane pole na stronie transparentności danych.

Wciąż się zastanawiasz? Zobacz dowody, których wymaga prawdziwy audyt — bez rejestracji.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS