Czy sam Trivy wystarczy?
Skaner mówi Ci, co jest podatne na danej maszynie w tej chwili. Audyt pyta o co innego: jak wygląda i jak jest udokumentowany proces zarządzania podatnościami w całej firmie. Poniżej uczciwe porównanie trzech sposobów odpowiedzi na to pytanie — razem z tym, gdzie każdy z nich, także nasz, ma braki.
Model i cena
- Samodzielny Trivy
- Darmowy, licencja Apache-2.0. Brak opłat licencyjnych.
- Secvalis
- Abonament SaaS. Trzy plany z ceną podaną wprost na stronie (od 199 zł/mies.), czwarty — Enterprise — wyceniany indywidualnie.
- Skanery enterprise
- Ceny zwykle niejawne — poznanie kosztu zazwyczaj wymaga rozmowy handlowej. Często kontrakty roczne.
Czas wdrożenia
- Samodzielny Trivy
- Pojedynczy skan: natychmiast. Zbudowanie z niego systemu zarządzania: dni lub tygodnie pracy inżyniera.
- Secvalis
- Rejestracja i uruchomienie jednego skryptu na maszynie. Skrypt jest jawny — możesz go przeczytać przed uruchomieniem.
- Skanery enterprise
- Zwykle od kilku tygodni: proces zakupowy, integracje sieciowe, często płatne usługi wdrożeniowe.
Koszt całkowity (TCO)
- Samodzielny Trivy
- Licencja kosztuje 0 zł. Koszt to godziny pracy inżyniera potrzebne, by zbudować wokół skanera bazę wyników, panel i powiadomienia — i utrzymywać je dalej.
- Secvalis
- Abonament plus czas administratora liczony w minutach tygodniowo.
- Skanery enterprise
- Licencja, a często również wdrożenie i szkolenia. Zwykle bariera dla mniejszych podmiotów.
Utrzymanie
- Samodzielny Trivy
- Po Twojej stronie w całości: skaner, bazy, skrypty spinające go z resztą firmy. Zmiana formatu wyniku w nowej wersji potrafi zepsuć Twoje skrypty.
- Secvalis
- Platforma, bazy podatności (NVD, CISA KEV, EPSS) i parsery są po naszej stronie. Po Twojej: jeden skrypt w cronie na maszynę. Przy większej flocie to jeden zasób w Puppet lub Ansible — aktualizacja oznacza podmianę jednego pliku.
- Skanery enterprise
- Konfiguracja polityk i komponentów zwykle wymaga dedykowanej osoby.
Kto to obsługuje
- Samodzielny Trivy
- Inżynier, który czyta surowy JSON i pisze własne automatyzacje.
- Secvalis
- Administrator IT. Priorytety (CVSS, EPSS, CISA KEV) wylicza platforma — widzisz, co łatać najpierw.
- Skanery enterprise
- Zwykle analityk bezpieczeństwa po szkoleniu z konkretnej platformy.
Interfejs
- Samodzielny Trivy
- Wiersz poleceń i pliki JSON. Bez panelu i bez kont użytkowników.
- Secvalis
- Panel webowy: flota, podatności, trendy, role i uprawnienia.
- Skanery enterprise
- Rozbudowany panel. Bogactwo funkcji bywa okupione czasem wdrożenia i nauki.
Decyzje i workflow (triage)
- Samodzielny Trivy
- Brak pojęcia stanu. Każdy skan zaczyna od zera; wyciszenie podatności to edycja pliku .trivyignore na każdej maszynie osobno.
- Secvalis
- Statusy podatności (nowa, w trakcie, naprawiona) oraz osobna ścieżka akceptacji ryzyka — z właścicielem, uzasadnieniem, terminem i środkami kompensującymi.
- Skanery enterprise
- Rozbudowany workflow, często wymagający integracji z zewnętrznym systemem zgłoszeń.
Dowody dla audytora
- Samodzielny Trivy
- Surowe pliki JSON lub SBOM. Na pytanie „co zrobiliście z tą podatnością trzy miesiące temu” skaner nie odpowiada.
- Secvalis
- Raporty PDF dla zarządu i audytora, kompletny dziennik działań (kto, co, kiedy, z jakim uzasadnieniem) z eksportem CSV i PDF, oraz osobna rola audytora tylko do odczytu.
- Skanery enterprise
- Obszerne raporty, bywa że zbyt techniczne dla odbiorcy nietechnicznego.
Ustawa o KSC, NIS2, ISO 27001
- Samodzielny Trivy
- Wykrywa luki, ale nie mapuje ich na wymagania i nie wytwarza dowodów zgodności.
- Secvalis
- Zaprojektowany pod polską ustawę o KSC, NIS2 i ISO 27001 (A.8.8): mapowanie kontroli, terminarz ustawowy i pakiet dowodów audytowych.
- Skanery enterprise
- Zgodność mapowana zwykle na standardy międzynarodowe; polska ustawa o KSC rzadko wprost.
Powiadomienia
- Samodzielny Trivy
- Do oskryptowania samodzielnie.
- Secvalis
- Slack, Microsoft Teams, Discord, Telegram, webhooki i podsumowania e-mail — gotowe.
- Skanery enterprise
- Szerokie możliwości; konektory bywają płatne osobno.
Obciążenie serwera
- Samodzielny Trivy
- Uruchamiany na żądanie, nic nie działa w tle.
- Secvalis
- Bez agenta: skrypt w cronie wykonuje skan, wysyła wyniki i kończy działanie. Żadnego stałego procesu.
- Skanery enterprise
- Zwykle wymagają zainstalowania agenta działającego w tle.
Dane i RODO
- Samodzielny Trivy
- Wyniki zostają lokalnie — ale nie ma centralnego obrazu całej infrastruktury.
- Secvalis
- Hosting w OVHcloud w Warszawie (Polska, EOG). Skan wykonuje się lokalnie; do platformy trafiają metadane wyników — nazwa hosta, pakiety, wersje i dopasowane CVE. Nigdy pliki, hasła, konfiguracje ani kod źródłowy. Umowa powierzenia (DPA) zawierana elektronicznie.
- Skanery enterprise
- Dane często trafiają do chmur poza EOG, co bywa problemem dla podmiotów kluczowych.
Czego brakuje
- Samodzielny Trivy
- Panelu, historii, ról i dowodów. Wszystko to musisz zbudować i utrzymać sam.
- Secvalis
- Nie wspieramy jeszcze Windows Server (jest na roadmapie) ani sieci w pełni odciętych od internetu — skrypt potrzebuje wyjścia HTTPS. Jesteśmy młodym produktem.
- Skanery enterprise
- Przejrzystości cen i elastyczności dla mniejszych organizacji.
Kiedy sam Trivy wystarczy
Jeśli masz kilka maszyn, nikt nie żąda od Ciebie dowodów, a czytanie JSON-a nie sprawia Ci trudności — sam Trivy jest właściwym narzędziem i nie potrzebujesz nas. Podobnie, gdy masz już zespół, który zbudował wokół skanera własną agregację i raportowanie, i chce je dalej utrzymywać.
Secvalis zaczyna się opłacać, gdy ktoś zażąda dowodu — audytor, klient, regulator — albo gdy flota urośnie ponad to, co jedna osoba jest w stanie utrzymać w głowie.
A co z open-source platformami do zarządzania podatnościami?
Projekty takie jak DefectDojo dają warstwę procesu, której goły skaner nie ma, a licencja nic nie kosztuje. To znakomity wybór, jeśli masz zespół zdolny je prowadzić: ceną jest czas tego zespołu — instalacja, aktualizacje, kopie zapasowe, dostępność i bezpieczeństwo samej platformy. Nie ma też dostawcy, do którego zadzwonisz, gdy coś przestanie działać, ani zobowiązania wsparcia.
Pytanie nie brzmi, które oprogramowanie jest lepsze, tylko czyj czas chcesz na to wydać: swoich inżynierów czy naszych.
Policz sam
Nie podamy Ci liczby, ile kosztuje układanka „skaner plus skrypty”, bo nie znamy Twoich stawek. Oto wzór i nasze założenia — podstaw swoje:
koszt = godziny inżyniera x stawka + godziny utrzymania miesięcznie x 12 x stawka
Nasze założenie: około 40 godzin na zbudowanie agregacji wyników, bazy, powiadomień i czytelnego widoku nad skanerem, plus kilka godzin miesięcznie na utrzymanie tego przy życiu, gdy zmieniają się formaty i wymagania. To szacunek, nie pomiar — Twoje liczby mogą być niższe, a jeśli są, to realny argument, żeby zrobić to samodzielnie.
Trivy to projekt open source firmy Aqua Security, rozpowszechniany na licencji Apache-2.0. Secvalis korzysta z Trivy pod spodem — porównujemy skaner z procesem zbudowanym na nim, a nie skaner ze skanerem.
Kolumna „skanery enterprise” opisuje kategorię, nie konkretny produkt. Oferty komercyjne różnią się między sobą, dlatego każde twierdzenie o nich jest świadomie zastrzeżone. Zweryfikuj je u dostawcy, którego naprawdę rozważasz.
Ciekawi Cię, co dokładnie opuszcza Twoją maszynę? Wymieniamy każde wysyłane pole na stronie transparentności danych.
Wciąż się zastanawiasz? Zobacz dowody, których wymaga prawdziwy audyt — bez rejestracji.

