Skanowanie podatności w kontenerach
Zapewnienie bezpieczeństwa obrazów kontenerowych w procesie CI/CD może wydawać się dodatkowym obciążeniem, jednak w praktyce da się je zautomatyzować w prosty i powtarzalny sposób. W tym wpisie pokażę, jak zintegrować narzędzie Trivy z pipeline’em CI/CD, aby skutecznie wykrywać podatności bezpieczeństwa w budowanych obrazach kontenerowych jeszcze przed ich publikacją.
Trivy realizuje zasadę “shift left security”, czyli:
- skanowanie jak najwcześniej w cyklu wytwórczym,
- automatyczne blokowanie artefaktów niespełniających wymagań bezpieczeństwa.
Może analizować m.in.:
- obrazy kontenerowe (Docker, OCI),
- filesystem (repozytorium kodu),
- IaC (Terraform, Kubernetes YAML, Helm),
- SBOM (Software Bill of Materials).