Closed7

GitHub ActionsでTrivy(0.19.2)を動かす

運用

レジストリに追加するイメージに脆弱性を含めない、という視点に立つとビルド時のワークフローに組み込むべき。

脆弱性を検知した場合の運用ケースを挙げてみる。

  • ワークフローは止めないが、Issueはどこかに流す
  • ワークフローを止める
  • ワークフローを止める + 定期実行(これはビルドしない期間に検出された場合を補完。例えば、新規開発を止めているサービスなど)

参考

周辺ツール

  • Dockle
  • hadolint
このスクラップは2021/08/21にクローズされました
ログインするとコメントできます