Рубрики
Uncategorized

Сканирование изображений в моих гитапсах Reppo

Сканирование изображений контейнера, развернутые для моего кластера, используемого для руководства. Теперь это происходит автоматически … Теги с Showdev, DevOps, Kubernetes, Docker.

Сканирование изображений контейнера, развернутые для моего кластера, используемого для руководства. Теперь это происходит автоматически каждую ночь. 🐱🏍.

Как сканировать

Я использую Trivey для сканирования контейнеров. Я написал о сканировании моих Gitops Reppo для изображений ранее здесь Отказ По сути, есть причудливый GREP, который соответствует Изображение: (<имя>) И это имя отправляется в тривею.

Мои гитапсы репо на Github в Kasuboski/K8S-Gitops Отказ Казалось, естественно запустить сканирование периодически с помощью действий GitHub. Сканирование произойдет на каждом толчке и каждую ночь.

Мне нужен способ исключить изображение, которое не смогло сканировать на хосте X86. Один лайнер из моего предыдущего поста нуждался в Греп -в исключить определенные шаблоны.

Делая Действия GitHub Действия

У меня было много проблем получить ACK настроен в бегун. Закончил докер образа, что загружает тривею, находит изображения и сканирует их.

Это изображение имеет собственное репо Kasuboski/Trivy-Scan-Dir . Если вы просто хотите сканировать репо, вы можете запустить Docker Run -it --rm -v/Путь/к/Ямл:/Gitops -e Kasuboski/Trivy-Scan-Dir .

Чтобы запустить это в рабочем процессе, добавьте следующий шаг.

- name: Scan Images
uses: docker://kasuboski/trivy-scan-dir:latest
env:
EXCLUDED: 'no/scan also/noscan'

Мой полный рабочий процесс можно найти в Kasuboski/K8S-Gitops Отказ Это триггеры на workflow_dispatch , крон и толчок к файлам YAML.

Отправка рабочего процесса позволяет запустить рабочий процесс вручную из Действия GitHub. Это было действительно удобно для тестирования. График CRON курсирует каждое утро в 4:03 утра.

Результаты

Этот рабочий процесс предупредил меня с несколькими уязвимостями. Если рабочий процесс не удается, я получаю электронную почту, а затем могу посмотреть в обновление изображения.

Результаты даже выглядят довольно приличными в приложении GitHub, поэтому я могу сказать, какие изображения мне нужно беспокоиться о. Пример сбоя прогона показан ниже.

Я все еще хочу добавить что-то в кластере, чтобы обеспечить только изображения, которые я хочу работать. Нахождение изображений для сканирования также должна быть более надежной. Например, некоторые изображения отображаются только после отображения проявления.

Оригинал: «https://dev.to/kasuboski/scan-images-in-my-gitops-repo-14hm»