Зачем сканировать
- Образы — в базовых образах и установленных пакетах могут быть известные CVE; сканер находит их до деплоя.
- Код и зависимости — уязвимости в библиотеках (npm, pip, Maven); SAST находит типичные ошибки в коде.
Сканирование образов
Trivy
Trivy
Простой в использовании; образы, файловые системы, IaC. Интеграция в CI одной командой; выход с ненулевым кодом при нахождении уязвимостей.
Clair / Grype
Clair / Grype
Альтернативы для анализа слоёв образа и сравнения с базами CVE.
Облачные сканеры
Облачные сканеры
ECR image scanning, GCP Container Analysis — встроено в registry.
Зависимости и код
- npm audit, pip audit, go list -json -m all + проверка баз — в CI.
- Snyk, Dependabot, Renovate — автоматические PR с обновлениями и алерты.
- SAST — SonarQube, Semgrep, CodeQL — статический анализ кода на типичные уязвимости.
Интеграция в пайплайн
- Этап после сборки образа: запуск Trivy (или аналога); fail при критичных/high по политике.
- Этап проверки зависимостей на каждом PR.
- Опционально: блокировка merge при открытых критичных уязвимостях.
Что добавить сюда
- Свои команды Trivy и пороги (например, exit 1 при CRITICAL)
- Настройка Dependabot/Snyk для репозиториев
- Ссылки на документацию инструментов