Categoria

Pagina 1 di 1

Trivy: scanner CVE che ti dice che la tua immagine Docker è marcia

Ho scansionato con Trivy le immagini Docker di cinque clienti. Risultato: una `php:8.2-fpm` con 147 CVE di cui 12 critiche, non aggiornata da otto mesi. Trivy rivela quanto siano marcie le immagini base che usiamo ogni giorno, e fa emergere un problema sistemico: aggiornare le immagini è un compito che salta sempre.

In questa categoria scrivo di Trivy applicato in pipeline: setup di Trivy nella GitHub Actions per scan ogni build, security gate che blocca il push su CVE critiche, processo di bonifica strutturato per immagini ferme da mesi, criteri per scegliere immagini base più piccole e meno vulnerabili (distroless, alpine).

Se hai container in produzione e non sai quanto siano vulnerabili, parliamone. Oppure scopri come lavoro.

Container image security: vulnerabilità nelle immagini Docker che usi ogni giorno

Container image security: vulnerabilità nelle immagini Docker che usi ogni giorno Un'immagine Docker pinnata a un tag e mai più ricostruita accumula decine di CVE nelle librerie di sistema, anche se il tuo codice PHP è impeccabile. Ti mostro il processo completo di hardening, base image minimale, multi-stage build, utente non-root, scanning in CI e refresh automatico, e come costruire una chain of trust verificabile dal Dockerfile al deploy. Continua a leggere
Ultima modifica: