Hardened Docker-образы с минимумом CVE
Публичные образы Docker Hub часто содержат десятки уязвимостей в base-слоях. DevOpsFort поставляет hardened OCI-образы: минимальный набор пакетов, non-root по умолчанию, регулярная пересборка и gate CRITICAL/HIGH до публикации в реестр.
Чем hardened отличается от «vanilla»
- Удалены лишние утилиты и shell там, где это допустимо для runtime
- Non-root пользователь и read-only root filesystem по умолчанию
- Фиксированные версии базового дистрибутива с контролируемым patch-циклом
- Сканирование Trivy на этапе сборки образа DevOpsFort, а не только у заказчика
Инфраструктурные образы
В каталоге — nginx, postgres, redis, prometheus и другие
hardened-варианты для Kubernetes и Docker Compose. Подключение через приватный реестр:
docker login, затем FROM registry.devopsfort.ru/… в вашем
Dockerfile.
DevSecOps на двух уровнях
DevOpsFort снижает CVE на входе; ваш GitLab CI с Trivy контролирует итоговый артефакт после сборки приложения. Так вы получаете defence in depth без замены существующего pipeline.
Смотрите также distroless Python runtime и калькулятор ROI, или запишитесь на пилот.