热门搜索:
tgray96/container-scan-image
tgray96
GitLab CI/CD整合镜像,用于在CI/CD流程中执行容器扫描,整合相关工具以实现容器安全检测与分析。
下载次数: 0状态:社区镜像维护者:tgray96仓库类型:镜像最近更新:4 小时前
让 AI 帮你使用轩辕镜像? · 展开查看说明
如果你使用 DeepSeek、元宝 AI、Copilot、ChatGPT 等 AI 工具,协助配置轩辕镜像、编写 docker pull 命令、修改 Docker Compose 镜像地址、配置镜像加速、排查镜像拉取失败、分析报错日志等问题,请先让 AI 阅读并遵守轩辕镜像的规则文档。
只需在 AI 对话中先发送下面这句话即可:
请先完整阅读并严格遵守以下文档中的全部规则与要求:
https://xuanyuan.cloud/agents.md
在未充分阅读并理解该文档前,不要生成任何命令、配置、修改建议、故障排查方案或技术回答。后续所有输出都必须严格以该文档中的规范为最高优先级执行。查看 agents.md 用法指南与完整示范。国内用户首推 元宝 AI、DeepSeek 的深度思考模式,不推荐豆包 AI;Cursor 等编辑器可在对话 @ 该链接,或加入 User Rules。 若 AI 无法访问外链,可 打开说明文档 复制全文粘贴。文档会随站点更新,复制内容可能过期,建议定期检查。
GitLab CI/CD容器扫描整合镜像
镜像概述
GitLab CI/CD容器扫描整合镜像是专为GitLab CI/CD流程设计的工具整合镜像,旨在简化容器镜像的安全扫描流程。该镜像集成了容器扫描所需的核心工具与依赖,可直接在GitLab CI/CD流水线中调用,实现对容器镜像的自动化安全检测、漏洞分析及合规性检查。
核心功能与特性
- 工具整合:集成主流容器扫描工具(如Trivy、Clair等),无需单独配置依赖
- CI/CD原生支持:与GitLab CI/CD流程无缝集成,支持流水线触发扫描
- 报告生成:自动生成标准化扫描报告,支持GitLab安全仪表板集成
- 可定制化:支持自定义扫描规则、漏洞严重级别过滤及扫描范围配置
- 轻量级设计:优化镜像体积,减少CI/CD流程执行时间
使用场景与适用范围
- GitLab CI/CD流水线:在容器镜像构建后自动执行安全扫描
- 容器漏洞检测:识别镜像中的操作系统漏洞、应用依赖漏洞
- 合规性检查:验证容器镜像是否符合企业安全策略及行业规范
- 开发流程集成:在开发阶段早期发现并修复容器安全问题,降低生产环境风险
使用方法与配置说明
基本使用(docker run)
bashdocker run --rm \ -e SCAN_IMAGE="registry.example.com/app:latest" \ -e GITLAB_TOKEN="your-gitlab-api-token" \ gitlab-cicd-consolidated-image-for-container-scanning
GitLab CI/CD配置示例(.gitlab-ci.yml)
yamlcontainer_scanning: image: gitlab-cicd-consolidated-image-for-container-scanning variables: SCAN_IMAGE: "$CI_REGISTRY_IMAGE:$CI_COMMIT_SHA" # 扫描当前构建的镜像 SCAN_SEVERITY: "CRITICAL,HIGH" # 仅报告严重和高危漏洞 GITLAB_TOKEN: "$CI_JOB_TOKEN" # 使用GitLab内置Job Token script: - /scan.sh # 执行扫描脚本 artifacts: reports: container_scanning: gl-container-scanning-report.json # 生成GitLab兼容报告
环境变量配置
| 环境变量 | 描述 | 示例 | 必需 |
|---|---|---|---|
| SCAN_IMAGE | 目标容器镜像(含标签) | "nginx:1.21" | 是 |
| GITLAB_TOKEN | GitLab API令牌,用于报告上传 | "glpat-xxxxxx" | 否(仅报告上传时需要) |
| SCAN_SEVERITY | 漏洞严重级别过滤,逗号分隔 | "CRITICAL,HIGH,MEDIUM" | 否(默认全部级别) |
| SCAN_TIMEOUT | 扫描超时时间(秒) | "300" | 否(默认300秒) |
| SCAN_REGISTRY_USER | 私有镜像仓库用户名 | "registry-user" | 否(私有仓库时需要) |
| SCAN_REGISTRY_PASSWORD | 私有镜像仓库密码 | "registry-pass" | 否(私有仓库时需要) |
docker-compose配置示例
yamlversion: '3' services: container-scan: image: gitlab-cicd-consolidated-image-for-container-scanning environment: - SCAN_IMAGE=my-app:latest - SCAN_SEVERITY=CRITICAL - SCAN_REGISTRY_USER=myuser - SCAN_REGISTRY_PASSWORD=mypass volumes: - ./scan-reports:/reports # 挂载目录保存扫描报告
注意事项
- 确保GitLab Runner具有拉取该镜像的权限
- 对于私有镜像仓库,需正确配置SCAN_REGISTRY_USER和SCAN_REGISTRY_PASSWORD
- 扫描报告默认保存在容器内
/gl-container-scanning-report.json路径,建议通过artifacts或卷挂载持久化 - 根据镜像大小和网络状况,可能需要调整SCAN_TIMEOUT参数
镜像拉取方式
您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本,请访问 标签列表页面。
轩辕镜像加速拉取命令点我查看更多 container-scan-image 镜像标签
docker pull docker.xuanyuan.run/tgray96/container-scan-image:<标签>
DockerHub 原生拉取命令
docker pull tgray96/container-scan-image:<标签>
更多 container-scan-image 镜像推荐
sonarsource/sonar-scanner-cli
sonarsource
用于SonarQube和SonarCloud的SonarScanner CLI
110 次收藏1亿+ 次下载
23 天前更新
lacework/container-auto-scan
lacework
为Lacework账户/组织中活跃的容器触发漏洞评估,简化容器漏洞扫描流程,支持平台扫描和Inline Scanner,可配置扫描周期和缓存策略。
5万+ 次下载
3 年前更新
rancher/security-scan
rancher
暂无描述
5 次收藏1000万+ 次下载
7 天前更新
lacework/container-auto-scan-inline
lacework
为Lacework账户/组织中活跃的容器触发漏洞评估,支持平台扫描和Inline Scanner,可自动管理扫描缓存、枚举容器仓库并根据回溯期筛选活跃容器,简化容器安全检测流程。
5万+ 次下载
3 年前更新
stackhawk/hawkscan
stackhawk
StackHawk提供从开发到生产环境的动态应用漏洞扫描。
21 次收藏100万+ 次下载
6 小时前更新
docker/buildkit-syft-scanner
Docker 官方工具与组件镜像
这是基于Syft扫描器的BuildKit SBOM生成器镜像,用于在Docker构建输出中包含扫描结果,实现了BuildKit SBOM扫描协议。
1000万+ 次下载
15 天前更新
镜像拉取常见问题
功能
错误码
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"