Как включить сканирование уязвимостей реестра контейнеров в сценарии CI / CD с помощью Cloud Build на GCP

Question

Есть ли способ добавить сканирование уязвимости реестра контейнеров в качестве шага в сценарии .yaml, выполняющего конвейер CI / CD с использованием Cloud Build. Идея будет состоять в том, чтобы не развертывать образ, если серьезность критическая или высокая.

В настоящее время сканирование выполняется в Реестре контейнеров после того, как изображение было передано, но это не зависит от сценария конвейера CI / CD. Я не знаю, каковы лучшие практики в этой области, в частности, в компании, где действуют строгие правила безопасности.

Answer 1

Мой быстрый взгляд на данный момент говорит о том, что способ сделать это - сделать шаг после шагов сборки и регистрации, который запускает сканирование vuln.В настоящий момент CLI не имеет требуемого запроса get, в настоящее время разрабатываются только HTTP / Java & Go API.

Поскольку это звучит как для работы, и это все еще в очень раннем предварительном выпуске, я бы предложил что-то вроде Synk или Anchore , которые были бы лучшими альтернативами, поскольку онигораздо больше готовой продукции.