将 Docker Scout 与 GitHub 集成

GitHub 应用集成使 Docker Scout 能够访问您在 GitHub 上的源代码仓库。这种对镜像构建过程的更深入可见性，使 Docker Scout 能够为您提供自动化且具有上下文关联的修复建议。

工作原理

启用 GitHub 集成后，Docker Scout 可将镜像分析结果与源代码直接关联。

在分析您的镜像时，Docker Scout 会检查来源证明 声明，以检测镜像源代码仓库的位置。如果找到源代码位置，且您已启用 GitHub 应用，则 Docker Scout 将解析用于创建该镜像的 Dockerfile。

解析 Dockerfile 可揭示构建镜像所使用的基镜像标签。通过了解所使用的基镜像标签，Docker Scout 可检测该标签是否已过期，即该标签已被更改为不同的镜像摘要。例如，假设您使用 alpine:3.18 作为基镜像，而之后镜像维护者为 3.18 版本发布了包含安全修复的补丁版本。此时，您一直使用的 alpine:3.18 标签便已过期；您当前使用的 alpine:3.18 标签已不再是最新版本。

当发生这种情况时，Docker Scout 会检测到差异，并通过 基础镜像最新策略进行展示。 当启用了 GitHub 集成后，您还将收到有关如何更新基础镜像的自动化建议。有关 Docker Scout 如何帮助您自动改进供应链行为与安全态势的更多信息，请参见 修复措施。

设置

要将 Docker Scout 集成到您的 GitHub 组织中：

1. 前往 GitHub集成 Docker Scout 仪表板。

2. 选择 集成 GitHub 应用 按钮以打开 GitHub。

3. 选择您要集成的组织。

4. 选择您是希望集成 GitHub 组织中的所有仓库，还是手动选择特定仓库。

5. 选择 安装并授权 以将 Docker Scout 应用添加到组织中。

   这将带您返回 Docker Scout 仪表板，其中列出了您当前激活的 GitHub 集成。

GitHub 集成现已激活。