container scanning とは何か?
container scanning は、container image にインストールされたパッケージやライブラリを脆弱性データベースと照合し、既知の問題を洗い出す pipeline チェックです。build 済みの image に対して実行されるため、デプロイされるものそのものを見ます。検出結果は pipeline の一部として報告され、しばしばリリースをゲートします。
なぜ重要か
image はコードが書かれたずっと後になっても、ベースレイヤーや依存関係から脆弱性を引き継ぐことがよくあります。最終的な image をスキャンすることで、production に到達する前にそれらを捕捉します。CI に組み込めば、定期的な手動監査に頼るのではなく、すべての build が自動的にチェックされます。
関連ガイド
What Is a DAST Scan?A DAST scan tests a running application from the outside by sending crafted requests, finding vulnerabilities…
What Is License Compliance Scanning?License compliance scanning detects the open-source licenses of a project's dependencies and flags any that v…
What Is a Container Registry?A container registry is a storage and distribution service for container images, where builds push and deploy…