Container vulnerability scanner pazarı 2025’te 1,2 milyar dolardan 2030’da 3,8 milyar dolara büyürken (Gartner Magic Quadrant 2024 raporu), Trivy, Snyk Container ve Grype kurumsal stack’in üç dominant seçeneği olarak farklılaşıyor.
Container Güvenliği 2026: Tehdit Yüzeyi ve Pazar Bağlamı
CNCF 2024 Annual Survey, kuruluşların yüzde 84’ünün üretimde Kubernetes kullandığını gösterdi. Buna paralel olarak Sysdig 2024 Cloud-Native Security Report container ortamında ortalama her image’da 250+ vulnerability tespit etti (kritik + yüksek dahil). Snyk State of Open Source Security 2025 raporu vulnerable transitive dependency oranını yüzde 78 olarak ölçtü. Container image’larının üçüncü taraf base image katmanları (Ubuntu, Alpine, Debian) ve uygulama katmanları (npm, PyPI, Maven) ayrı tehdit yüzeyleri oluşturuyor.
2024’te öne çıkan vulnerability’ler arasında CVE-2024-3094 (XZ Utils backdoor), CVE-2024-45337 (golang.org/x/crypto/ssh), CVE-2024-6387 (regreSSHion) container ortamlarını ciddi şekilde etkiledi. CISA Known Exploited Vulnerabilities (KEV) kataloğu 2024’te 187 yeni entry ekledi. Vulnerability scanner’ları bu güncel CVE’leri tespit etmek için çoklu veri kaynağı (NVD, GHSA, OSV, vendor advisories) kullanıyor. Trivy, Snyk ve Grype bu kaynakları farklı stratejilerle birleştiriyor.
Trivy vs Snyk vs Grype: Mimari ve Özellik Karşılaştırması
Trivy (Aqua Security, Apache 2.0) tek binary olarak çalışan all-in-one tarayıcı; Snyk Container (Snyk Inc., proprietary SaaS) commercial dev-first ürün; Grype (Anchore, Apache 2.0) sadece vulnerability matching odaklı modüler tarayıcı. Üçü de OCI image, filesystem, IaC ve SBOM tarayabiliyor; Trivy ayrıca Kubernetes manifest, Terraform ve secret tarama yapıyor.
| Özellik | Trivy | Snyk Container | Grype |
|---|---|---|---|
| Lisans | Apache 2.0 OSS | Commercial SaaS | Apache 2.0 OSS |
| CVE DB güncellik | Günlük (Trivy DB) | Saatlik (Snyk Intel) | Günlük (Anchore Feed) |
| Tarama süresi (medium image) | 8-15 sn | 15-30 sn (API call) | 5-12 sn |
| Dil ekosistemi | 20+ (npm, PyPI, Maven, Go) | 30+ (en geniş) | 18+ |
| Kubernetes operator | Trivy Operator (Aqua) | Snyk Controller | Yok (CLI/CI focus) |
| Misconfig tarama | Var (IaC, K8s) | Var (IaC) | Yok |
| SBOM çıktı | CycloneDX, SPDX | CycloneDX, SPDX | CycloneDX, SPDX, Syft |
| Maliyet (50 dev) | Ücretsiz | ~$25K/yıl | Ücretsiz |
Tespit Doğruluğu ve False Positive Profili
2024 boyunca yapılan bağımsız benchmark’lar (Datadog Container Security Report, Sysdig Threat Research) üç scanner’ı farklı CVE veritabanı ve eşleme algoritmalarıyla karşılaştırdı. Trivy NVD + GHSA + OSV + Red Hat OVAL + Ubuntu USN birleşik feed’i kullanıyor; bu nedenle false positive oranı daha düşük ama yeni CVE eklenme gecikmesi 12-36 saat. Snyk kendi “Snyk Intel” tehdit istihbarat ekibinin manuel doğrulamasıyla zenginleştirilmiş veriyi sunuyor; en hızlı tespit (saatlik) ama license tabanlı API rate limit var. Grype Anchore vulnerability feed’i kullanıyor, Syft SBOM motoruyla entegre çalışıyor; en hızlı tarama, en sade çıktı.
- Severity scoring: Üçü de CVSS 3.1 kullanıyor; Snyk ek olarak “Snyk Priority Score” sunuyor (exploitability + business context)
- Reachability analysis: Snyk premium tier’da fonksiyon seviyesinde reachability; Trivy/Grype yok
- VEX support: Trivy 0.50+ ve Grype 0.85+ VEX (Vulnerability Exploitability eXchange) destekliyor; false positive azaltıyor
- License compliance: Snyk’in dedicated modülü var; Trivy/Grype temel seviyede
İlgili konu: SBOM CycloneDX SPDX kurumsal pattern
CI/CD ve Kubernetes Entegrasyon Pattern’ları
Pipeline entegrasyonu üç scanner için de olgun. Trivy GitHub Action (aquasecurity/trivy-action) en yaygın kullanılan; SARIF formatında GitHub Security tab’ına otomatik upload yapıyor. Snyk Container Snyk CLI üzerinden 100+ entegrasyona sahip (GitHub, GitLab, Jenkins, CircleCI, Bitbucket Pipelines). Grype anchore/scan-action üzerinden GitHub Actions’a entegre; Syft ile aynı pipeline’da SBOM + scan üretiyor.
Kubernetes runtime tarafında Trivy Operator (Aqua Security) cluster içindeki tüm image’ları periyodik tarayıp VulnerabilityReport CRD’leri üretiyor. Snyk Controller benzer iş yapıyor ama Snyk SaaS’a metrik gönderiyor. Grype’ın Kubernetes-native operator’ı olmasa da KubeBench ve Falco ile birlikte kullanılabiliyor. Kyverno veya OPA Gatekeeper “imageVerify” policy’leri ile tarama eşiği üzerindeki image’lar admission anında reddediliyor.
Operasyon, Maliyet ve Vendor Lock-in Analizi
50 geliştirici, 200 microservice ortamında yıllık maliyet karşılaştırması anlamlı fark yaratıyor. Trivy ve Grype açık kaynak olduğu için yalnızca compute (CI dakikası) ve operasyon maliyeti taşıyorlar; tipik yıllık 5-10 bin dolar. Snyk Container Team plan 25 bin dolar/yıl civarında, Enterprise plan 80-150 bin dolar bandında. Ancak Snyk’in “developer experience” yatırımı (IDE entegrasyonu, Fix PR otomatik açma, security training) productivity kazancı sağlıyor.
| Senaryo | Trivy | Snyk | Grype | Önerilen |
|---|---|---|---|---|
| OSS startup, 5-15 dev | İdeal — ücretsiz, hızlı | Snyk Free (200 test) | İdeal | Trivy + Grype |
| Mid-market, 50-200 dev | OSS + Trivy Operator | Team plan ~$25K | OSS + Syft | Trivy + Snyk hibrit |
| Enterprise regulated | Aqua commercial ekleyin | Snyk Enterprise + Intel | Anchore Enterprise | Aqua veya Anchore commercial |
| FedRAMP/GovCloud | Aqua Enterprise (FedRAMP) | Snyk GovCloud | Anchore (FedRAMP In Process) | Aqua veya Anchore |
| Air-gapped on-prem | İdeal (offline DB) | Snyk Broker gerekli | İdeal | Trivy + Grype |
Sektörel Tercih Pattern’ları
Finansal sektörde air-gapped on-prem zorunlu olduğu için Trivy Enterprise (Aqua) ve Anchore Enterprise (Grype) yaygın. Sağlık tarafında HIPAA uyumu için VEX destekli Trivy ve Grype tercih ediliyor (false positive yönetimi kritik). DevOps-heavy SaaS şirketlerinde Snyk Container “shift-left” felsefesiyle baskın; IDE entegrasyonu ve PR-time fix önerileri developer adoption’ı artırıyor. Trivy resmi dokümantasyonu, Snyk Container docs ve Grype GitHub repo production örnekleri içeriyor.
Kurumsal Vulnerability Scanner Adopsiyonunda Karşılaşılan Tipik Sorunlar
Danışmanlık projelerinde gözlemlenen tipik darboğazlar:
- Vulnerability fatigue: Image başına 250+ finding karşısında ekipler “kabul edilebilir risk” değerlendirmesi yapamıyor; VEX/triage süreci kurulmuyor
- Base image sorumluluğu belirsiz: CVE’lerin yüzde 60’ı base image’dan geliyor; “platform ekibi mi app ekibi mi düzeltecek” tartışması süreci yavaşlatıyor
- Multi-arch image scan eksikliği: ARM64 ve AMD64 manifest’lerinin ayrı tarandığı her zaman bilinmiyor; eksik kapsam oluşuyor
- Distroless image yanılgısı: Distroless image’larda da glibc, CA certs ve runtime kütüphaneleri CVE üretebiliyor; tarama yine zorunlu
- Air-gapped DB güncellik: On-prem ortamlarda CVE database güncellemesi unutuluyor; eski feed ile tarama yapılıyor
- Fix automation eksikliği: Renovate veya Dependabot scan sonuçlarıyla entegre edilmiyor; PR-time fix yok
Sonuç
Trivy, Snyk Container ve Grype 2026’da container vulnerability scanning pazarının üç dominant seçeneği. Doğru tercih kurum profiline bağlı: OSS-first ve operasyon ekibi güçlüyse Trivy + Grype kombinasyonu; developer-first ve commercial bütçe varsa Snyk Container Enterprise; regulated industry için Aqua veya Anchore commercial versiyonları. Hangi seçenek seçilirse seçilsin üç pratik şart vardır: birinci, scanner’ı CI pipeline’a “fail build” eşiğiyle entegre edin (kritik = block, high = warn). İkinci, Kubernetes admission tarafında policy enforcement kurun (sigstore-policy-controller veya Kyverno). Üçüncü, VEX tabanlı triage süreciyle false positive yükünü yönetin. Bu üç pratik kurumsal stack’in container saldırı yüzeyini yüzde 75-90 azaltıyor ve hem regülasyon uyumunu hem de incident response süresini iyileştiriyor.
Sıkça Sorulan Sorular
Trivy mi Snyk mi Grype mı? Hangi senaryoda hangisini seçmeli?
OSS-first ortamlarda Trivy + Grype kombinasyonu en güçlü; Trivy geniş kapsam (misconfig + secret + IaC), Grype hızlı match. Snyk Container developer experience ve commercial support arayan kurumsallar için ideal. Regulated industry için Aqua Trivy Enterprise veya Anchore Enterprise tercih ediliyor.
VEX (Vulnerability Exploitability eXchange) ne kazandırıyor?
Tespit edilen CVE’nin uygulama context’inde gerçekten exploit edilebilir olup olmadığını machine-readable formatta belirtiyor. False positive yükünü yüzde 40-60 azaltıyor. Trivy 0.50+ ve Grype 0.85+ VEX statement’ı tüketebiliyor; OpenVEX spec’i fiili standart.
Kubernetes admission’da hangi policy aracı en olgun?
Sigstore Policy Controller imza ve attestation doğrulaması için ideal; Kyverno daha genel policy engine (imageVerify, validate, mutate) ve daha sade Kubernetes-native syntax. OPA Gatekeeper Rego ile en esnek ama öğrenme eğrisi daha dik.
Air-gapped on-prem ortamda hangi scanner çalışır?
Trivy ve Grype offline veritabanı destekliyor; düzenli (haftalık) DB sync süreci kurmak yeterli. Snyk Broker proxy ile çalışabiliyor ama internet erişimi gerektiriyor. Aqua Enterprise air-gapped deployment için en olgun commercial seçenek.
Türk şirketleri hangi vulnerability scanning standardına uymak zorunda?
BDDK Bilgi Sistemleri Yönetmeliği “güvenlik açığı tarama” maddesi haftalık tarama bekliyor. KVKK “uygun teknik tedbirler” bağlamında scanner kullanımı bekleniyor. AB pazarına satış yapanlar için Cyber Resilience Act (CRA) 2027 yürürlüğü öncesinde tarama + VEX altyapısı şart.
Ömer Önal
Mayıs 23, 2026Container vulnerability scanner seçimi kurum profiline doğrudan bağlı. OSS-first ekipler için Trivy + Grype kombinasyonu en güçlü; commercial DevX arayan kurumsallar Snyk; regulated industry için Aqua veya Anchore commercial versiyonları. Hangisi seçilirse VEX tabanlı triage süreci ve Kubernetes admission policy enforcement zorunlu. Türk şirketleri için BDDK haftalık tarama zorunluluğu ve EU CRA 2027 yürürlüğü öncesinde scan + VEX altyapısı şart.