Différences

Ci-dessous, les différences entre deux révisions de la page.

--- informatique:devops:scan-images-docker [2024/10/22 10:47] – [Scout] bertrand
+++ informatique:devops:scan-images-docker [2024/10/22 10:53] (Version actuelle) – bertrand
@@ Ligne 1: / Ligne 1: @@
 ====== Scanner les vulnérabilités des images Docker ======
-===== Snyk =====
-ce connecter à app.snyk.io (via son compte github par exemple)
-  - Choisir la méthode d'intégration (github, … , cli), j'ai choisi cli
-  - installer snyk (pour linux : <code bash>curl https://static.snyk.io/cli/latest/snyk-linux -o snyk && chmod +x ./snyk && mv ./snyk /usr/local/bin/</code>
-  - authentifier la machine : <code bash>snyk auth</code>, pour de la CI, https://docs.snyk.io/snyk-cli/configure-the-snyk-cli/environment-variables-for-snyk-cli
-  - <code bash>snyk container monitor <repository>:<tag> --org=386bf7a1-7346-45de-be9a-21ad1edcca03</code>, voir les commandes en ligne : https://docs.snyk.io/snyk-cli/commands
-J'ai récupérer mon token (cf. mon séquestre) et j'ai fait un test :
-<code bash>
-export SNYK_TOKEN="mon-token"
-docker run --rm -it --env SNYK_TOKEN -v /var/run/docker.sock:/var/run/docker.sock snyk/snyk:alpine sh
-# puis à l'invite de commande dans le container :
-snyk test --docker nginx:stable-alpine
-# …
-</code>
-Ça ne semble fonctionner que sur des images présentes sur le dockerhub, mais pas sur les images créées et encore moins sur les conteneurs (même en ajoutant _container_ avant _test_)
-===== Harbor =====
-Autre solution, utiliser [[https://goharbor.io/|Harbor]] qui utilise //Clair// et //Trivy// et “configurer des scans automatiques dès qu'une image est versée (pull), en utilisant Trivy par défaut (ou Clair si tu le préfères), et mettre en place des politiques d'admission pour bloquer les images contenant //vulns// (niveau de gravité à paramétrer)”
 ===== Scout =====
@@ Ligne 59: / Ligne 39: @@
 ==== utiliser scout dans la CI de gitlab ====
 https://docs.docker.com/scout/integrations/ci/gitlab/
+===== Snyk =====
+ce connecter à app.snyk.io (via son compte github par exemple)
+  - Choisir la méthode d'intégration (github, … , cli), j'ai choisi cli
+  - installer snyk (pour linux : <code bash>curl https://static.snyk.io/cli/latest/snyk-linux -o snyk && chmod +x ./snyk && mv ./snyk /usr/local/bin/</code>
+  - authentifier la machine : <code bash>snyk auth</code>, pour de la CI, https://docs.snyk.io/snyk-cli/configure-the-snyk-cli/environment-variables-for-snyk-cli
+  - <code bash>snyk container monitor <repository>:<tag> --org=386bf7a1-7346-45de-be9a-21ad1edcca03</code>, voir les commandes en ligne : https://docs.snyk.io/snyk-cli/commands
+J'ai récupérer mon token (cf. mon séquestre) et j'ai fait un test :
+<code bash>
+export SNYK_TOKEN="mon-token"
+docker run --rm -it --env SNYK_TOKEN -v /var/run/docker.sock:/var/run/docker.sock snyk/snyk:alpine sh
+# puis à l'invite de commande dans le container :
+snyk test --docker nginx:stable-alpine
+# …
+</code>
+Ça ne semble fonctionner que sur des images présentes sur le dockerhub, mais pas sur les images créées et encore moins sur les conteneurs (même en ajoutant _container_ avant _test_)
+===== Harbor =====
+Autre solution, utiliser [[https://goharbor.io/|Harbor]] qui utilise //Clair// et //Trivy// et “configurer des scans automatiques dès qu'une image est versée (pull), en utilisant Trivy par défaut (ou Clair si tu le préfères), et mettre en place des politiques d'admission pour bloquer les images contenant //vulns// (niveau de gravité à paramétrer)”

DokuWiki ArAr - CDRC-C14

Outils pour utilisateurs

Outils du site

Différences

Outils de la page