写给小白的移植指南(一)：如何移植网站应用到懒猫，爆金币

和懒猫的结缘，是我在X上闲逛时，无意中刷到了王总的信息流。 于是翻着他的blog，一篇篇刷下去，很吸引人，尤其是通宵敲代码的那些经历，让我共鸣了。 于是参加抽奖活动，居然中了个充电器。 在大佬坚持不懈的安利下，我在5.18买了个猫。 他说移植一个应用，奖励100元，如果是原创应用，奖励更多。 经过一个多月的努力，终于让我薅回来了。 今天复盘一下移植app的经历，希望对大家有帮助。 ## 先说说我的痛点 - 我完全不知道什么是docker - 甚至都没写过命令行代码 - 不知道咋移植 - 无从下手 - 不知道从哪里找应用 ## 迈开第一步 既然不知道如何移植，最快的办法，就是看其他大佬怎么移植的。 我在懒猫商店发现了这么一个应用： https://appstore.lazycat.cloud/#/shop/detail/cloud.lazycat.app.game2048 注意到它，是因为我之前玩过1024的游戏，跟他这个差不多。 于是跟着这个应用详情，我来到了github的地址。  在github上可以看到，这是一个静态网站，也没有什么docker镜像之类的东西。  于是我跑去VIP群（每个懒猫用户都有一个VIP群），问这种东西咋移植。 很快有人回复：可以参考它的lpk文件。但是需要进ssh，写代码，我一阵头大。 后来，我发现了大佬开发的这个应用： https://appstore.lazycat.cloud/#/shop/detail/top.j0k3r.lpk-inspector 真是福音啊，进去搜2048，  直接点进去，就能看到它的配置，真是太方便了。  ### **看配置** 从上面可以看到，每个lpk应用，都有3个文件。 icon.png 是应用图标， manifest.yml 里面是主要的配置。 content.tar 里面是网站发布后的一些文件。 具体字段就不阐述了，可以去看官方文档： https://developer.lazycat.cloud/ ### **开始移植** 到了这一步，相信很多程序员就可以自己操作了。 我打开VSCode，下载下来代码，编译网站，按照要求准备好这3个文件，打包成lpk，安装到懒猫。 这些步骤基本没有什么卡点，我就不废话了。 ### **注意事项** 对于简单的html应用、游戏，官方可以上架，但没有激励，毕竟这种应用太多了，可以理解。 ## 最后想说的 我在没移植之前，觉得太难了。 等移植完第一个app，内心成就感爆棚：原来我也可以！ 当然，除了这种静态网站应用，还有很多其他类型的应用，我会在后续文章中分享如何移植。 如果你也想移植应用，爆金币，不妨从2048开始，这种是最简单的。

Markopolis：提供 Markdown 文件的 Web 应用

## 什么是 Markopolis ？ Markopolis 是一款旨在提供 Markdown 文件的 Web 应用和 API 服务器。它允许您以网站形式共享 Markdown 笔记，并使用 API 与 Markdown 文件交互和操作它们。类似于 Obsidian Publish，但又不会被锁定在 Obsidian 生态系统中。 软件特点： > REST API 接口： 提供 REST API 来与笔记中的不同 Markdown 元素进行交互。 > 可定制的 UI： 通过使用 Markopolis 作为后端，支持“自带用户界面”。 > Obsidian Markdown 风格： 接近 Obsidian Markdown 风格并支持反向链接、待办事项和 LaTeX 方程式。 > 即时渲染： 使用单个命令将 Markdown 笔记推送到服务器，并立即将其渲染为简单的网页。 > 全文搜索： 实现全文搜索。 > 暗色和亮色模式： 支持暗色和亮色模式。 > 代码格式和待办事项： 支持代码格式和待办事项。 > 低维护： 几乎不需要维护。 > API 文档： 使用 FastAPI 生成的内置 API 文档。 https://appstore.lazycat.cloud/#/shop/detail/wcloud.gblw.app.markopolis ## 如何使用 应用安装之后，默认打开首页，内置了几个文件  从懒猫网盘里，可以看到多了一个markopolis/data文件夹，文档都在这里面  只要把文件放到这个目录下，就能看到数据了 但是这里要注意，md文件名字，不能有特殊符号，比如-，这样数据就出不来，会报错  md文件必须以这样开头，否则文件还是读取不来，ID、Title、Tags必须有，具体值自己可以改 > ID: 1c > Title: 深度学习简介 > Tags: #人工智能 #机器学习 举例：  展示出来就是这种效果  如果你想自己开发，对接服务端，可以这样，在域名后加上/docs  比如第一个hello world  通过应用查看器，拿到key的值 https://appstore.lazycat.cloud/#/shop/detail/top.j0k3r.lpk-inspector  填入这个值vCUJvtcnsJPxPUHZzNWNquHMzxEYEqoCWEXuwnEBaFFCtduhhTTsmwRKxWHGFvdG，点击执行  看到状态是200，返回了结果hello world，说明接口是通的  这样你就可以自己写个接口，调用api，直接把数据推送到服务端就行了。  网盘能直接看到  同理，用接口创建的md，内容也要符合规则，否则还是会出现解析失败的情况。 以上就是markopolis的基本用法，可以作为一个不错的markdown查看器。

应用商店版本落后？教你用 LPK 自助升级

 ## 懒猫微服商店里的应用没及时更新怎么办？ 以 Calibre-Web Automated 为例：商店里是 3.0.5，而最新版已经到 3.1.4。作为不更新会死星人，自然要自己动手。 官方路径有两条： 1. 等待提供者更新（或客服联系开发者更新） 2. 自己修改 LPK 包，更换镜像版本 本文走第 2 条，几分钟搞定升级。 ## 准备工作 ### 需要工具： - [懒猫应用查看器](https://lazycat.cloud/appstore/detail/top.j0k3r.lpk-inspector)（用于导出/查看 LPK） - [lzc-cli](https://developer.lazycat.cloud/lzc-cli.html)（开发者命令行工具，需注册开发者账号） - [开发者文档AI助手](https://appstore.lazycat.cloud/#/shop/detail/in.zhaoj.devaihelper)（可用来查命令/规格） ## 步骤一：获取 LPK 安装并打开“懒猫应用查看器（LPK Inspector）” 导出 Calibre-Web Automated 的 LPK 文件 ## 步骤二：解包并查看 manifest.yml 用任意解压软件打开 LPK（本质是 zip） 找到并打开 manifest.yml，原始片段类似： ```yaml lzc-sdk-version: 0.1 package: cloud.lazycat.app.calibreweb version: 3.0.5 name: Calibre-Web Automated description: Calibre-Web，但自动化且具有 Calibre 功能 license: https://choosealicense.com/licenses/gpl-3.0/ homepage: https://github.com/crocodilestick/Calibre-Web-Automated author: CrocodileStick application: subdomain: calibreweb user_app: true routes: - /=http://server.cloud.lazycat.app.calibreweb.lzcapp:8083 services: server: image: >- registry.lazycat.cloud/longixaoyi/crocodilestick/calibre-web-automated:bdf3dbf10be5a22c environment: - PUID=0 - PGID=0 - TZ=Asia/Shanghai binds: - /lzcapp/var/config:/config - /lzcapp/var/cwa-book-ingest:/cwa-book-ingest - /lzcapp/var/calibre-library:/calibre-library - /lzcapp/var/books:/books - >- /lzcapp/pkg/content/auto-library.py:/app/calibre-web-automated/scripts/auto-library.py ``` 可以看到 `image` 使用的是 `registry.lazycat.cloud` 的仓库，意味着我们需要先把新版镜像同步到该仓库。 ## 步骤三：把上游镜像同步到懒猫镜像仓库 使用 lzc-cli（需要开发者账号登录）执行（示例）： `lzc-cli appstore copy-image crocodilestick/calibre-web-automated:V3.1.4` 命令执行成功后，会返回一个 registry.lazycat.cloud 上的完整镜像地址（包含命名空间与标签/摘要）。**记下这个地址**。 #### 提示： - 平台通常要求走 registry.lazycat.cloud 拉取，直接改 docker.io/ghcr.io 不一定能拉到，因此用 copy-image 最稳。 - 确认镜像是否包含你的 CPU 架构（amd64/arm64）。 ## 步骤四：修改 manifest.yml 的镜像地址 - 将 services.server.image 改为上一步返回的 registry.lazycat.cloud 完整地址（3.1.4 对应的 tag/摘要）。（顺便把version 也改成3.1.4吧） - 其他项一般不需要变动，但建议检查： - 环境变量（PUID/PGID/TZ 是否仍适用，新版是否有新增/废弃） - 端口（仍为 8083 即可） - 数据卷路径（/config、/books、/calibre-library、/cwa-book-ingest 等是否一致） - 兼容性脚本（auto-library.py 的挂载路径未变化） ## 步骤五：重新打包为 LPK - 将修改后的文件“就地压缩”为 zip（注意把目录内容打包到根层级，而不是再套一层目录） - 把后缀 .zip 改为 .lpk，例如 calibreweb-3.1.4.lpk 可选：若这是一个完整项目，也可用 lzc-cli 构建（开发手册示例） ``` lzc-cli project build -o release.lpk lzc-cli app install release.lpk ``` ## 步骤六：安装并验证 安装新包：`lzc-cli app install calibreweb-3.1.4.lpk` 提示安装成功后，打开 Calibre-Web Automated，检查应用内“关于/版本”或首页标注，确认已是 3.1.4。 ## 故障排查与回滚 - 拉取失败/403：重试 copy-image，或检查是否输错上游 tag（V3.1.4 大小写要一致）。 - 架构不匹配：确认镜像支持你的设备架构。 - 启动报错：对照新版 README/Changelog，检查环境变量、卷挂载、健康检查端点是否变化。 - 快速回滚：把 image 改回旧地址，重新打包并安装；原数据卷位于 /lzcapp/var/*，不会随升级丢失（建议重要数据先备份）。 ## 贴士 - 商店更新节奏有时会滞后，“自己改 LPK + 同步镜像”是当前最省事的临时方案。 - 想省去手工压包，亦可在熟悉 lzc-cli 后把此流程脚本化。 ## 用到的工具 - 懒猫应用查看器（LPK Inspector）：https://lazycat.cloud/appstore/detail/top.j0k3r.lpk-inspector - 开发者文档AI助手（查命令/规范更快）：https://appstore.lazycat.cloud/#/shop/detail/in.zhaoj.devaihelper - lzc-cli（开发者工具） ## 参考 - https://lazycat.cloud/playground/guideline/652 - https://lazycat.cloud/playground/guideline/662 - https://lazycat.cloud/playground/guideline/753 - https://developer.lazycat.cloud/lzc-cli.html

懒猫 OCI 镜像同步：把商店镜像、外部仓库、离线备份一次打包掌控

# 用 OCI 镜像同步 把懒猫镜像带回家 https://appstore.lazycat.cloud/#/shop/detail/cloud.lazycat.app.liu.imagesync ## Why - 为什么需要 OCI 镜像同步？ ### 它解决的痛点 - 懒猫应用商店的镜像无法直接通过 `docker pull` 获取，无法满足探索镜像、二次开发的需求。 - dive 等镜像层分析工具无法触达懒猫的私有镜像，开发者无法洞悉镜像内容与风险。 - 想基于懒猫镜像做定制或复刻，却缺少一个稳定的导出流程和可复用的基础镜像。 - 想要同步外部镜像到懒猫微服或个人私库时，缺少统一的图形化入口，流程零散且重复。 ### 对懒猫生态的价值 - 让开发者把镜像同步到本地或可信私有仓库，恢复透明度与掌控力。 - 支持快速构建生产镜像副本，自动化流程与安全审计不必每次都访问应用商店。 - 与懒猫的《Docker 镜像源管理器》搭配，实现镜像发现、同步、管理的闭环。 - 通过同一界面操作任意网络可达的容器镜像，实现懒猫与外部生态之间的镜像流转。 ## What - OCI 镜像同步是什么？底层依赖如何运作？ ### 服务概览 - OCI Image Sync 运行在懒猫微服之上，为个人用户提供类 Linux 服务器的体验，全程通过图形化流程完成，无需命令行。 - 支持从懒猫应用商店或任何网络可达的镜像仓库同步到本地目录、懒猫自建仓库或外部 registry。 - 通过可视化配置表单与模板，实现备份、环境镜像与多仓协同的自动化与可重复。 ### Skopeo 的角色 - 工具内部依赖 [Skopeo](https://github.com/containers/skopeo)，由 Containers 社区维护，可在无需 Docker 守护进程的情况下直接搬运镜像。 - Skopeo 负责校验 manifest、拉取 OCI 镜像层，并支持多种认证方式（Basic、Bearer）与传输协议。 - 它的无守护进程设计非常适合懒猫微服这类 NAS/Linux 设备，减少依赖与资源占用。 ### 与其它懒猫工具的关系 - OCI 镜像同步 专注镜像的提取与复制；《Docker 镜像源管理器》在此基础上提供仓库级的可视化管理。 https://appstore.lazycat.cloud/#/shop/detail/in.zhaoj.dockerregistry - 两者配合使用，个人用户无需企业级工具，即可在自用开发、家庭实验室测试与离线备份场景中重复利用懒猫镜像。 ## Who - 谁适合使用这套方案？ ### 主要使用者 - **家庭实验室构建者**：把懒猫微服当作个人 Linux 服务器，需要简单的方式镜像或归档镜像文件。 - **独立创客**：基于懒猫应用做自定义或副项目，希望在自有硬件上获得可编辑的基础镜像。 - **自动化爱好者**：把懒猫镜像接入个人 CI/CD、安全扫描或 SBOM 流程，而无需依赖企业基础设施。 ### 前置条件 - 拥有访问懒猫应用商店镜像的账号或授权凭据。 - 具备目标仓库（Harbor、Docker Hub 镜像、企业私服等）的访问权限，或准备好本地文件系统存储。 - 理解需要同步的镜像命名约定与标签策略，以便在界面中快速准确填写表单。 ## When - 在哪些时刻执行镜像同步？ ### 触发场景 - 基于懒猫镜像发布个性化版本或修复前，先把原镜像同步到可控环境。 - 应用商店更新上游镜像、希望下游环境保持一致时。 - 进行安全审计、使用 dive 分析内容、生成 SBOM 前的预处理步骤。 - 需要为离线、灾备环境提前准备镜像副本时。 - 希望把外部镜像搬入懒猫微服或个人私库，统一管理版本与访问权限时。 ### 运行节奏 - 将同步纳入每次依赖镜像变更时的发布清单。 - 在执行诊断或分析前，可随时发起一次临时同步获取最新层内容。 ## Where - 在哪里运行？数据存放在哪？ ### 运行环境 - 直接在懒猫微服上执行，利用其内置的 Linux 环境与应用商店组件。 - 在应用商店中安装 OCI 镜像同步 服务即可，无需额外部署步骤。 -  ### 源与目标位置 https://appstore.lazycat.cloud/#/shop/detail/top.j0k3r.lpk-inspector - 源端：懒猫应用商店的镜像仓库，或任何网络可达的 OCI/镜像仓库（Docker Hub、GHCR、企业私服等）。 - 你可以通过 《懒猫应用查看器》了解应用使用的的镜像 -  - 目标：本地目录用于离线存储、懒猫本机的《Docker 镜像源管理器》，或 NAS 能访问到的外部 registry。 -  https://appstore.lazycat.cloud/#/shop/detail/in.zhaoj.dockerregistry ## How - 如何配置并操作 OCI 镜像同步？ ### 架构流程 1. 在 Web 控制台新建同步任务或套用现有模板，填入源、目标、命名空间与标签规则。 - 基于前面获取到的信息，在 UI 上配置即可。 -  2. 开始同步后，系统后台调用 Skopeo 完成 manifest 校验与镜像层复制。 -  3. 控制台实时展示进度与日志，必要时可暂停、重试或调整参数。 4. 同步成功后，可直接在界面中跳转到《Docker 镜像源管理器》或复制目标仓库地址。 -  5. 基于同步后的镜像来做分析 - 通过成功后，镜像就在 《Docker 镜像源管理器》应用中，我们可以使用 dive 或 trivy 或其他工具来获取、分析该镜像。 -  ### 基础配置步骤 1. **准备凭据** - 获取懒猫应用商店的拉取凭据（默认为空）。 - 如果需要访问外部仓库，准备 Basic 认证信息。 2. **图形化填写配置** - 打开 OCI 镜像同步 控制台，输入源地址、目标地址、命名空间、标签过滤等参数。 - 按需开启 TLS 校验、并发控制和完整性验证，并可保存为模板以便后续复用。 - 在 高级选项 中可以将上述配置保存到后台，下次可以直接使用。 -  3. **预检查与验证** - 使用“查询可用架构”功能确认凭据有效、仓库可达。 -  - 出现异常时，界面会提示具体错误并提供排查建议。 4. **启动同步任务** - 单击“开始同步”，后台自动执行传输；仪表板展示每个仓库与标签的状态。 - 同步结束后可一键复制目标镜像地址或导出同步报告。 5. **验收与记录** - 对同步结果使用 dive 或其他工具进行层级审查。 - 更新依赖部署脚本或编排文件，指向新的镜像地址或仓库。 ### 常见问题排查 - **认证失败**：核对凭据是否过期、编码是否正确，必要时重新申请懒猫访问令牌。 - **证书错误**：目标仓库使用自签证书时，为 Skopeo 配置自定义 CA。 - **网络瓶颈**：拆分大规模任务或启用层缓存，避免重复传输。 - **标签冲突**：按环境添加后缀（如 `-lazycat`、时间戳）避免覆盖重要镜像。 ## How Much - 需要投入多少成本？ ### 时间投入 - 首次整理凭据、熟悉界面、完成首个同步模板通常在一小时内。 - 后续复用模板与计划任务后，单次同步仅需数分钟。 ### 资源消耗 - 同步过程主要占用网络带宽，需关注大体积基础镜像的传输窗口。 - 存储压力随保留的镜像副本数量增长，可结合目标仓库的配额策略定期清理。 - CPU 占用较低，Skopeo 以流式方式传输数据，无需频繁解压。 ## 参考资料 - OCI 镜像同步 项目文档：https://github.com/lazycatapps/image-sync/blob/main/CLAUDE.md - Skopeo 官方仓库：https://github.com/containers/skopeo - dive 镜像探查工具：https://github.com/wagoodman/dive

懒猫微服部署 Trivy Web UI 让应用镜像风险一键可见

# 懒猫微服部署 Trivy Web UI 让应用镜像风险一键可见 https://appstore.lazycat.cloud/#/shop/detail/cloud.lazycat.app.liu.trivy ## Why - 为什么选择 Trivy Web UI？ ### 应用场景 - **应用审核前检查**：在懒猫微服应用商店审核镜像时，先确认是否存在高危漏洞。 - **初次部署体检**：自己准备安装的应用，在安装前或刚部署完成立即扫描。 - **安全敏感自检**：对安全要求较高的用户，定期抽查常用镜像的风险状态。 ### 解决的痛点 - 懒猫应用镜像无法从外网获取，传统 Trivy 无法直接扫描。 - 多人分别在终端执行 Trivy 时，重复下载体积巨大的漏洞数据库。 - 纯命令行操作门槛高，配置差异导致扫描策略不一致。 ### 方案优势 - **内网直连**：部署在懒猫微服内部，可直接访问受保护的商店镜像。 - **可视化体验**：表单化配置、实时日志、结果导出，降低安全工具的入门难度。 - **离线加速**：内置本地漏洞数据库，可通过环境变量自定义镜像源并定期更新。 - **漏洞库复用**：本地命令行可指向服务器漏洞库，避免重复下载资源。 ## What - Trivy 与 Trivy Web UI 是什么？ ### Trivy 的定位 - 轻量级安全扫描器，覆盖容器镜像、文件系统、依赖包、IaC 模板等多种资产。 - 支持 CVE 漏洞、配置合规、敏感信息等多维度检查。 ### Trivy Web UI 的角色 - 部署在懒猫微服上的 Web 管理界面，为 Trivy 提供可视化入口。 - 负责镜像源管理、仓库凭据录入、扫描配置、风险报告导出与历史追踪。 - 通过场景模板固化常用设置，帮助个人快速复用安全检查流程。 ## Who - 谁适合使用？ ### 目标用户 - 懒猫微服应用的审核人员，在审核流程中顺手检查镜像安全。 - 对懒猫微服生态安全特别敏感的个人用户，想在安装前后掌握镜像风险。 - 自行构建或修改镜像、希望在发布前做最后一次安全确认的个人开发者。 ### 前置准备 - 确认已在懒猫微服应用商店安装好 Trivy Web UI。 - 准备好目标镜像所在仓库的访问凭据（如有）。 - 了解自己对漏洞等级的接受阈值，方便设置过滤策略。 ## When - 什么时候使用？ ### 关键时刻 - 将镜像提交到懒猫微服应用商店审核之前。 - 在自己的懒猫微服上首次部署或升级第三方应用时。 - 发现相关镜像有新增漏洞通告、想确认风险程度时。 ### 使用节奏 - 审核和部署环节视为必做步骤，保障第一时间掌握风险。 - 如果对安全格外敏感，可建立自己的周期性扫描计划（如每月或每季度）。 - 当收到安全事件或社区提醒时，及时补扫重点镜像。 ### 扫描结果有效性 - Trivy 官方漏洞库每 6 小时构建更新一次，建议定期重新扫描关键镜像以获取最新风险评估。 - Trivy Web UI 内置的离线漏洞库会随应用更新而刷新，关注应用商店的版本更新提示即可。 - 对于长期运行的生产镜像，建议至少每月重新扫描一次，以发现新披露的漏洞。 ## Where - 在哪里部署与操作？ ### 部署位置 - 懒猫微服务器内置 Trivy 服务与 Web UI，无需额外安装。 -  - 服务监听固定端口（Trivy Server 的 API 端口为 59902）。 ### 可扫描的镜像来源 - 懒猫应用商店镜像（直接读取宿主机缓存）。 -  - 私人或团队自建的镜像仓库。 - 公有仓库：Docker Hub、阿里云容器镜像服务等，只要网络可达即可。 ### 访问终端 - 推荐使用桌面浏览器访问 Web UI，便于查看报告与管理模板。 - 若习惯命令行操作，可在局域网终端通过 Trivy CLI 调用服务器。 ## How - 如何配置与使用？ ### 一、初次登录与界面巡览 - 1. 打开懒猫微服应用入口，访问 Trivy Web UI。 -  - 页面底部会有应用版本号，以及该应用代码仓库的链接。 - 2. 使用平台账号登录，进入“镜像扫描配置”页面。 -  - 3. 熟悉页面布局：顶部为镜像地址与凭据，中部为扫描选项，高级选项与配置管理位于折叠面板，底部展示扫描历史。 -  ### 二、基础扫描配置 1. **指定镜像**：在“镜像地址”栏输入完整地址，或点击“从宿主机选择”读取本地镜像列表。 https://appstore.lazycat.cloud/#/shop/detail/top.j0k3r.lpk-inspector - 1. 你可以通过 懒猫应用查看器，在部署应用前就获取到应用依赖的镜像地址。 -  - 2. 你可以通过应用本身的 从宿主机选择 来获取运行中和本地全量的镜像地址列表。 -  2. **配置凭据**：如目标仓库需认证，填写用户名与密码，可选择启用 TLS 证书校验。 - 1. 如果是扫描 懒猫微服 **原生镜像**（镜像地址前缀是 registry.lazycat.cloud），不需要配置凭据，并且需要取消 `启用 TLS 证书校验 - 1. 如果是其他私有镜像仓库，请配置相关的凭据。 - 3. **安全提示**：默认不保存密码，每次需重新输入。若需保存密码便于重复扫描，可在应用配置中设置环境变量 `TRIVY_ALLOW_PASSWORD_SAVE=true`。建议使用只读权限的凭据以降低风险。 3. **选择扫描选项**： - 漏洞严重等级：限定需要关注的最低等级（默认全部）。 -  - **推荐策略**：生产环境或商店审核建议关注 HIGH 及以上；个人测试环境可只关注 CRITICAL，减少信息过载。 - 检测优先级：切换精准模式以降低误报，或选择速度优先。 -  - 包类型：是仅扫描基础镜像的漏洞，还是仅扫描应用自身的漏洞。 -  - 输出格式：JSON、HTML 等，方便保存记录或与他人分享。 -  - 详细说明请参考 Trivy 官方文档。 4. **配置输出选项**：确认输出格式，并在需要时勾选"只显示有修复方案的漏洞"等过滤项。 -  - 有些漏洞是展示没有修复版本的，如果你不需要看到这部分漏洞，可以勾选后忽略。 ### 三、场景模板管理 1. 展开“高级选项”中的配置管理区域。 -  2. 选择或新建模板名称，将当前配置保存为模板。 3. 典型模板建议： - `registry-review`：懒猫商店审核时使用，严格策略关注 HIGH 及以上漏洞。 - `self-hosted`：个人私有仓库镜像检查，可自定义安全等级。 - `public-registry`：检查 Docker Hub、阿里云等公有仓库的第三方镜像，建议关注 CRITICAL 和 HIGH。 4. 后续扫描时，通过下拉列表快速切换模板，保持自己的检查流程一致。 ### 四、执行扫描与分析结果 - 1. 点击“开始扫描”，系统会立即拉取镜像并运行 Trivy。 -  - 2. 在扫描过程中，可观察页面状态与进度提示，如需排查可打开实时日志。 - 3. 扫描完成后，历史记录区域会列出镜像名称、时间、状态与漏洞统计。 - 4. 点击“查看日志”了解细节，或选择“下载报告”获取离线文件，根据 CVE、风险等级、影响组件判断是否继续使用该镜像或采取替代方案。 -  ### 五、高级选项与调优 1. **调试模式**：勾选后显示更详细的执行日志，用于排错。 -  -  3. **自定义漏洞数据库镜像**：在懒猫微服的应用配置中设置环境变量，指向自备的漏洞库镜像地址。 -  - 示例环境变量配置： ```bash TRIVY_DB_REPOSITORY=ghcr.io/aquasecurity/trivy-db TRIVY_JAVA_DB_REPOSITORY=ghcr.io/aquasecurity/trivy-java-db ``` - 如需使用国内镜像加速或私有镜像源，修改上述地址即可。 3. **输出控制**：切换输出格式或启用调试按钮，便于和自己的记录方式或脚本配合。 ### 六、隐藏技巧：复用服务器漏洞库 https://appstore.lazycat.cloud/#/shop/detail/cloud.lazycat.app.forward - 1. 确认懒猫微服的 Trivy 服务端口（默认 59902）对内网可访问。 -  - 2. 在任意终端执行： ``` trivy image --server http://懒猫微服IP:59902 镜像名 ``` -  - 3. CLI 会直接复用懒猫微服上的离线漏洞数据库，减少多台设备重复下载的带宽与存储消耗，同时保证扫描结果与 Web UI 保持一致。 ### 七、常见问题与故障排查 #### 镜像拉取失败 - **现象**：扫描日志显示"unable to pull image"或连接超时。 - **排查步骤**： 1. 检查镜像地址是否正确，确认包含完整的仓库路径（如 `registry.example.com/namespace/image:tag`）。 2. 如需认证，确认用户名和密码无误，并检查是否启用了 TLS 证书校验。 3. 验证懒猫微服的网络连通性，尝试在懒猫微服终端手动 `lzc-docker pull` 该镜像。 4. 对于私有仓库，确认凭据具有拉取权限。 #### 扫描超时或进度卡住 - **现象**：扫描长时间无响应或停留在某个阶段。 - **排查步骤**： 1. 大型镜像（如包含多个操作系统层）可能需要较长时间，建议耐心等待或查看实时日志。 2. 检查懒猫微服的磁盘空间是否充足，Trivy 需要临时存储镜像层。 3. 启用调试模式，查看详细日志定位卡住的具体步骤。 4. 如持续失败，尝试重启 Trivy 服务或重新部署应用。 #### 凭据配置错误 - **典型表现**：提示"authentication failed"或"401 Unauthorized"。 - **解决方法**： 1. 确认用户名和密码中没有特殊字符导致的转义问题。 2. 检查凭据是否已过期或账号是否被锁定。 3. 如使用 Token 认证，确认 Token 格式正确且权限足够。 4. 对于 Docker Hub，确认是否需要使用个人访问令牌（PAT）而非密码。 #### 漏洞数据库更新失败 - **现象**：扫描时提示"database is outdated"或无法连接漏洞库。 - **解决方法**： 1. 检查自定义的 `TRIVY_DB_REPOSITORY` 环境变量是否正确。 2. 确认懒猫微服能访问漏洞库镜像地址（如 ghcr.io）。 3. 如使用离线模式，等待 Trivy Web UI 应用更新以获取最新内置漏洞库。 4. 临时解决：在应用配置中切换到国内镜像加速地址。 ## How Much - 投入成本评估 ### 时间成本 - 首次建立模板与流程约需 5～10 分钟。 - 复用模板后发起扫描，通常 1 分钟内即可完成配置。 ### 资源成本 - 借助懒猫微服内置服务，无需额外服务器或授权费用。 - 内置漏洞库与 CLI 共享机制显著降低网络流量与磁盘占用。 ### 维护成本 - 关注 Trivy Web UI 的应用更新，及时获取最新漏洞库；若使用自定义镜像源，也需偶尔同步版本。 - 不时检查保存的模板和凭据，确保账号仍然可用并符合自己的安全期待。 ## 相关资源 - Trivy 官方文档：https://trivy.dev/latest/ - Trivy 安装指南：https://trivy.dev/latest/getting-started/ ## 结语 通过懒猫微服内置的 Trivy Web UI，你可以在本地网络中高效完成镜像安全扫描：一键套用模板、快速出具报告、复用漏洞库保持一致性。只需几分钟的配置，就能在应用审核或个人部署前做出明智决策，为懒猫微服的日常使用增添一层可靠的安全保障。