Trivy в GitLab CI/CD для контейнерной безопасности
Trivy — стандарт de facto для scan образов в GitLab. DevOpsFort дополняет pipeline: hardened base-слои с минимумом CVE на входе, Trivy gate CRITICAL/HIGH на выходе — меньше ложных срабатываний и проще поддерживать baseline.
Типовой pipeline
docker loginв реестр DevOpsFort (CI/CD variables)- Сборка с
FROMhardened-образа из каталога trivy image --exit-code 1 --severity CRITICAL,HIGH $IMAGE- Push в ваш registry после успешного scan
Пример job в .gitlab-ci.yml
scan:
stage: test
image:
name: aquasec/trivy:latest
entrypoint: [""]
script:
- trivy image --exit-code 1 --severity CRITICAL,HIGH "$CI_REGISTRY_IMAGE:$CI_COMMIT_SHA"
needs: ["build"]
Defence in depth
DevOpsFort применяет Trivy gate до публикации образа в своём реестре; ваш GitLab контролирует итоговый артефакт с прикладными зависимостями. Дополнительно — scan-on-push в Harbor. Подробнее о двухуровневой модели — на странице решений DevSecOps.
Сочетайте с hardened Docker-образами и distroless Python. Запишитесь на пилот — поможем встроить в ваш pipeline.