uptycs/uptycs-ci Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务
uptycs/uptycs-ciuptycs
用于将漏洞扫描器集成到CI流水线中的Docker镜像,支持在持续集成过程中自动检测应用程序漏洞,提升开发流程的安全性和自动化水平。
下载次数: 0状态:社区镜像维护者:uptycs仓库类型:镜像最近更新:2 个月前
漏洞扫描器CI集成Docker镜像
镜像概述
本Docker镜像专为在CI(持续集成)流水线中集成漏洞扫描功能而设计,提供轻量级、可移植的漏洞检测能力。通过将其集成到开发流程的CI阶段,可实现代码或应用构建产物的自动化漏洞扫描,帮助开发团队在软件发布前及时发现并修复安全隐患,减少生产环境安全风险。
核心功能与特性
核心功能
- CI流水线无缝集成:支持与主流CI/CD工具(如GitHub Actions、GitLab CI、Jenkins、CircleCI等)快速集成,无需复杂配置
- 自动化扫描流程:容器化设计确保扫描环境一致性,可直接在CI任务中触发扫描,无需额外依赖安装
- 多维度漏洞检测:覆盖依赖组件漏洞(SCA)、代码安全漏洞(SAST)等常见安全风险类型
- 灵活报告输出:支持生成JSON、HTML、XML等多种格式的漏洞报告,便于后续分析或集成到第三方系统
关键特性
- 轻量级设计:优化镜像体积,减少CI流水线执行时间
- 可配置扫描参数:通过环境变量灵活设置扫描目标、深度、阈值等参数
- 兼容性广泛:支持扫描多种开发语言项目(如Java、Python、JavaScript等)及容器镜像
- 无状态运行:每次扫描独立执行,不残留环境数据,确保CI流程稳定性
使用场景
- 开发团队CI流程集成:在代码提交、PR合并或构建阶段自动触发漏洞扫描,阻止存在高危漏洞的代码进入下一流程
- 开源项目安全检测:开源维护者通过集成该镜像,在CI流程中向贡献者反馈代码安全问题
- 企业DevSecOps实践:作为DevSecOps体系的一环,将安全检测左移至开发早期,降低修复成本
- 多环境一致性扫描:在不同CI平台(如GitHub、GitLab)中使用统一镜像,确保扫描规则和结果一致性
使用方法与配置说明
基本使用(Docker Run)
通过docker run命令可直接在CI任务中执行扫描,基本语法如下:
bashdocker run --rm \ -e SCAN_TARGET="<扫描目标路径或URL>" \ -e OUTPUT_FORMAT="<报告格式,支持json/html/xml>" \ -e SEVERITY_THRESHOLD="<漏洞严重级别阈值,如high/critical>" \ -v "$(pwd):/workspace" \ # 挂载工作目录(若扫描本地项目) vulnerabilities-scanner-ci:latest
环境变量配置
| 环境变量名 | 描述 | 默认值 | 可选值 |
|---|---|---|---|
SCAN_TARGET | 扫描目标,支持本地路径(需挂载工作目录)或远程URL | 无 | 例如/workspace或https://example.com |
OUTPUT_FORMAT | 漏洞报告输出格式 | json | json/html/xml |
SEVERITY_THRESHOLD | 触发失败的漏洞严重级别阈值(低于该级别的漏洞不阻断CI流程) | high | low/medium/high/critical |
REPORT_PATH | 报告输出路径(容器内路径,若需持久化需挂载目录) | /reports | 例如/workspace/reports |
SCAN_DEPTH | 扫描深度(仅对代码扫描有效) | default | quick/default/deep |
CI平台集成示例
GitHub Actions集成
在.github/workflows/security-scan.yml中添加以下配置:
yamlname: Vulnerability Scan on: [push, pull_request] jobs: scan: runs-on: ubuntu-latest steps: - name: Checkout code uses: actions/checkout@v4 - name: Run vulnerability scan run: | docker run --rm \ -e SCAN_TARGET="/workspace" \ -e OUTPUT_FORMAT="html" \ -e SEVERITY_THRESHOLD="critical" \ -v "$(pwd):/workspace" \ vulnerabilities-scanner-ci:latest - name: Upload report uses: actions/upload-artifact@v3 with: name: vulnerability-report path: reports/ # 对应容器内REPORT_PATH目录
Jenkins集成
在Jenkins Pipeline中添加以下步骤:
groovypipeline { agent any stages { stage('Vulnerability Scan') { steps { script { docker.image('vulnerabilities-scanner-ci:latest').withRun( "-e SCAN_TARGET='/workspace' " + "-e OUTPUT_FORMAT='json' " + "-v ${workspace}:/workspace" ) {} } } post { always { archiveArtifacts artifacts: 'reports/*.json', fingerprint: true } } } } }
注意事项
- 扫描本地项目时,需通过
-v参数将宿主目录挂载至容器内(如示例中的/workspace),确保镜像可访问扫描目标 SEVERITY_THRESHOLD设置为critical时,仅严重级别漏洞会导致扫描失败;设置为low时,任何漏洞均会阻断CI流程- 报告文件默认生成在容器内
/reports目录,需通过挂载目录或CI平台的工件上传功能持久化报告 - 对于大型项目,建议使用
SCAN_DEPTH=quick进行初步筛查,在关键节点(如发布前)使用deep扫描确保全面性
uptycs/uptycs-kubequery
uptycs
暂无描述
10万+ 次下载
2 个月前更新
uptycs/k8sosquery
uptycs
Uptycs Kubernetes Osquery daemonset镜像是用于在Kubernetes集群中部署Osquery的daemonset组件,通过Osquery实现对容器和节点的安全监控与数据采集。
100万+ 次下载
2 个月前更新
uptycs/ecs-farquery
uptycs
Uptycs Osquery for AWS ECS with Fargate是一个在AWS ECS Fargate环境中运行的容器镜像,集成Osquery工具,用于对容器和主机系统进行实时监控、安全查询与合规性检查。
10万+ 次下载
2 个月前更新
uptycs/agentless
uptycs
Uptycs无代理扫描器基础镜像,用于构建无代理扫描相关应用的基础环境。
10万+ 次下载
1 个月前更新
uptycs/busybox
uptycs
基于glibc的Busybox镜像,提供精简的Unix工具集,灵感来源于spritsail/busybox项目,适用于需要glibc兼容性的轻量级环境。
1万+ 次下载
1 个月前更新
bparekhuptycs/kspm
bparekhuptycs
用于维护与qa-kspm项目相关的Docker镜像的仓库,提供项目所需的标准化镜像管理和维护功能。
5万+ 次下载
14 天前更新
轩辕镜像配置手册
探索更多轩辕镜像的使用方法,找到最适合您系统的配置方式
Docker 配置
登录仓库拉取
通过 Docker 登录认证访问私有仓库
专属域名拉取
无需登录使用专属域名
K8s Containerd
Kubernetes 集群配置 Containerd
K3s
K3s 轻量级 Kubernetes 镜像加速
Dev Containers
VS Code Dev Containers 配置
Podman
Podman 容器引擎配置
Singularity/Apptainer
HPC 科学计算容器配置
其他仓库配置
ghcr、Quay、nvcr 等镜像仓库
Harbor 镜像源配置
Harbor Proxy Repository 对接专属域名
Portainer 镜像源配置
Portainer Registries 加速拉取
Nexus 镜像源配置
Nexus3 Docker Proxy 内网缓存
系统配置
需要其他帮助?请查看我们的 常见问题Docker 镜像访问常见问题解答 或 提交工单
镜像拉取常见问题
使用与功能问题
错误码与失败问题
docker pull 提示 manifest unknown 怎么办?
manifest unknown
docker pull 提示 no matching manifest 怎么办?
no matching manifest(架构)
镜像已拉取完成,却提示 invalid tar header 或 failed to register layer 怎么办?
invalid tar header(解压)
Docker pull 时 HTTPS / TLS 证书验证失败怎么办?
TLS 证书失败
Docker pull 时 DNS 解析超时或连不上仓库怎么办?
DNS 超时
Docker 拉取出现 410 Gone 怎么办?
410 Gone 排查
出现 402 或「流量用尽」提示怎么办?
402 与流量用尽
Docker 拉取提示 UNAUTHORIZED(401)怎么办?
401 认证失败
遇到 429 Too Many Requests(请求太频繁)怎么办?
429 限流
docker login 提示 Cannot autolaunch D-Bus,还算登录成功吗?
D-Bus 凭证提示
为什么会出现「单层超过 20GB」或 413,无法加速拉取?
413 与超大单层
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"