DEV Community
·
使用Copacetic持续修补GHCR镜像
💡
原文英文,约700词,阅读约需3分钟。
📝
内容提要
使用GitHub工作流自动化管理GHCR镜像的安全性和更新,通过Trivy扫描漏洞,利用Copacetic进行修补,并将更新后的镜像推送至GHCR。工作流分为设置和修补两个任务,以确保高效处理每个镜像。
🎯
关键要点
- 使用GitHub工作流自动化管理GHCR镜像的安全性和更新。
- 通过Trivy扫描漏洞,利用Copacetic进行修补。
- 工作流分为设置和修补两个任务,以确保高效处理每个镜像。
- 使用Go代码动态生成镜像和标签的列表。
- 工作流开始时生成镜像列表,然后循环扫描、修补并更新GHCR上的每个镜像。
- 设置任务准备待修补的镜像列表。
- 修补任务运行完整的修补周期,包括扫描、修补和更新。
- 使用Trivy扫描镜像的操作系统漏洞并生成报告。
- 提取可修复漏洞的数量并保存为变量。
- 生成新的修补标签以便于版本管理。
- 仅在存在漏洞时应用修补。
- 成功修补后,认证并推送更新后的镜像到GHCR。
- 该解决方案仅适用于公共注册表,如GHCR。
➡️
