https://swordfishsecurity.ru/blog/obzor-utilit-bezopasnosti-docker
Вот ссылка, правда уже в корпоративном блоге.

Константин там ещё много ценных поправок предложил , надеюсь продублирует

тут, имхо, надо чётко разделять container complaince и конкретно код в этом контейнере. вещи настолько разные, что вот.
контейнер может быть собран идеально, но проект в нём - с кучей дырявых либ, дырявым юзерлэндом и паролями, блин, в файликах.

вот небольшая телега:

исхожу из того, что чем больше проверок - тем лучше.

поехали:

clair - самое шустрое из всего, что я видел; проверяет только системные пакеты и не заморачивается на проверку слоёв; я применяю как "стоп-проверку" - если остальные сканеры разработка может и проигнорить, то если clair что-то нашёл - такое даже в тест вылить у них не получится.
`
anchore - самое медленное из всего, что я видел; проверяет и пакеты ОС, и проектные зависимости - от питона до ноды и обратно; обилие false positives раздражает ещё больше, чем "самое медленное";

depspy - очень криво, очень косо, придётся допиливать и адаптировать, НО! таки snyk - очень много интересных вещей нашлось; в целом - скорость обновления snyk'а и его точность реально впечатляют;

trivy - реально шустро работает, проверяет в том числе и слои (сильно сомнительный плюс, но плюс), чекает и системные пакеты, и зависимости проектные; всё клёви, претензий нет, но вкручивать в CI в лоб низя - а то при каждом запуске будет 3Gi+ сливать vulndb.

>скорость обновления snyk'а и его точность реально впечатляют;
как и цена ))) а как depspy и snyk связаны?

а через дырку в лицензии. для OSS проектов - snyk бесплатен.
ну вот и получилось так, что depspy в отдельную репу синкает их раз в сутки.

ахахахах
прекрасно

trivy - реально шустро работает, проверяет в том числе и слои (сильно сомнительный плюс, но плюс), чекает и системные пакеты, и зависимости проектные; всё клёви, претензий нет, но вкручивать в CI в лоб низя - а то при каждом запуске будет 3Gi+ сливать vulndb.

кешируешь просто то что скачивается и все, две строчки в гитлаб сиай например

https://github.com/rtfpessoa/yavdb/commits/database ;-)

а если раннеров штук 30?

Кстати да. В статье про интеграцию я как раз написал про то, что можно раз в день апдейтить контейнер, чтобы последние данные подкачивались

ровно так и делаю, да. :-)

там ещё можно упомянуть, что trivy качает строго в $HOME/.cache/whatever, а gitlab в кэш умеет складывать только от project root.

если все образы самосборные то кроме clair особо ничего и не надо вроде как, не? а тащить куда-то чужие контейнеры даже после скана такое себе

а dependency check кто будет делать? :-)

это же отдельно от докера

для части неплохо Gemnasium, правда пока не все яп

хехе. :-) если бы.
бравые разработчики очень любят что-нибудь вроде pip install -r requirements.txt. где реально полный рандом при сборке может приехать.

gemnasium не OSS и тащит код на свою сторону. палево, однако.

это раньше, их же купили