Image Scanning - CI/CD用語集の定義
イメージスキャンは、コンテナイメージの OS パッケージとアプリケーションの依存関係に既知の脆弱性がないか分析し、インストールされているバージョンを CVE データベースと比較します。Trivy、Grype、Snyk が一般的なスキャナーです。
パイプラインにおいて
スキャン手順はイメージのビルド後に実行され、高深刻度の検出結果があれば pipeline を失敗させることができるため、脆弱なイメージが registry に到達することはありません。小さなベースイメージ (distroless、alpine) は通常、はるかに少ない検出結果しか報告しません。
関連ガイド
Distroless Image - CI/CD Glossary DefinitionDistroless Image: A distroless image contains only your application and its runtime dependencies, with no pac…
Image Registry - CI/CD Glossary DefinitionImage Registry: An image registry is a server that stores and distributes container images (Docker Hub, GitHu…
Container Image - CI/CD Glossary DefinitionContainer Image: A container image is a read-only, layered filesystem plus metadata (entrypoint, environment,…