如何使用 GCP 上的 Cloud Build 在 CI/CD 脚本中包含 Container Registry 漏洞扫描
How to inlcude Container Registry vulnerability scans in the CI/CD script using Cloud Build on GCP
有没有办法将 Container Registry 漏洞扫描添加为使用 Cloud Build 执行 CI/CD 管道的 .yaml 脚本中的一个步骤。如果严重性为严重或高,我们的想法是不部署图像。
现在扫描是在推送图像后在 Container Registry 上完成的,但这与 CI/CD 管道脚本无关。我不知道这方面的最佳实践是什么,尤其是在具有严格安全规则的公司中。
我现在的快速浏览表明,执行此操作的方法是在运行漏洞扫描的构建和注册表推送步骤之后执行一个步骤。现在,由于它处于 alpha 阶段,CLI 没有您需要的获取请求,目前仅开发了 HTTP/Java & Go API。
因为这听起来像是工作,而且还很早 pre-release 我建议 Synk or Anchore 之类的东西是更好的选择,因为它们更适合生产。
现在 GCP 正在提供可以从 Cloud Build 管道使用的“按需扫描”功能 link
目前该工具需要 RAM 中容器大小的 2-3 倍(Cloud Build 的最大值为 32 GB)。我希望这会很快得到改善。在这种情况下,我们可以使用 --remote 选项扫描已存储在 Artifac Registry
中的容器
有没有办法将 Container Registry 漏洞扫描添加为使用 Cloud Build 执行 CI/CD 管道的 .yaml 脚本中的一个步骤。如果严重性为严重或高,我们的想法是不部署图像。
现在扫描是在推送图像后在 Container Registry 上完成的,但这与 CI/CD 管道脚本无关。我不知道这方面的最佳实践是什么,尤其是在具有严格安全规则的公司中。
我现在的快速浏览表明,执行此操作的方法是在运行漏洞扫描的构建和注册表推送步骤之后执行一个步骤。现在,由于它处于 alpha 阶段,CLI 没有您需要的获取请求,目前仅开发了 HTTP/Java & Go API。
因为这听起来像是工作,而且还很早 pre-release 我建议 Synk or Anchore 之类的东西是更好的选择,因为它们更适合生产。
现在 GCP 正在提供可以从 Cloud Build 管道使用的“按需扫描”功能 link
目前该工具需要 RAM 中容器大小的 2-3 倍(Cloud Build 的最大值为 32 GB)。我希望这会很快得到改善。在这种情况下,我们可以使用 --remote 选项扫描已存储在 Artifac Registry
中的容器