DevOpsFort
GitLab CI/CD

Trivy в GitLab CI/CD для контейнерной безопасности

Trivy — стандарт de facto для scan образов в GitLab. DevOpsFort дополняет pipeline: hardened base-слои с минимумом CVE на входе, Trivy gate CRITICAL/HIGH на выходе — меньше ложных срабатываний и проще поддерживать baseline.

Типовой pipeline

  1. docker login в реестр DevOpsFort (CI/CD variables)
  2. Сборка с FROM hardened-образа из каталога
  3. trivy image --exit-code 1 --severity CRITICAL,HIGH $IMAGE
  4. Push в ваш registry после успешного scan

Пример job в .gitlab-ci.yml

scan:
  stage: test
  image:
    name: aquasec/trivy:latest
    entrypoint: [""]
  script:
    - trivy image --exit-code 1 --severity CRITICAL,HIGH "$CI_REGISTRY_IMAGE:$CI_COMMIT_SHA"
  needs: ["build"]

Defence in depth

DevOpsFort применяет Trivy gate до публикации образа в своём реестре; ваш GitLab контролирует итоговый артефакт с прикладными зависимостями. Дополнительно — scan-on-push в Harbor. Подробнее о двухуровневой модели — на странице решений DevSecOps.

Сочетайте с hardened Docker-образами и distroless Python. Запишитесь на пилот — поможем встроить в ваш pipeline.