切换语言

评估 CI 中的策略合规性

目录

将 Policy Evaluation 添加到您的持续集成管道中可以帮助您 检测并防止代码更改会导致策略合规性的情况 与基线相比变得更糟。

CI 设置中策略评估的推荐策略包括 评估本地镜像并将结果与基线进行比较。如果策略 本地镜像的合规性比指定的基准差,则 CI 运行 失败并显示错误。如果策略合规性更好或不变,则 CI 运行 成功。

这种比较是相对的,这意味着它只关心你的 CI 镜像比基线更好或更差。这不是对 通过或失败所有策略。通过相对于您定义的基线进行测量, 您可以快速查看更改对策略有积极还是消极影响 合规。

运作方式

在 CI 中执行策略评估时,您会在 镜像。要运行本地评估,需要 您评估必须存在于运行 CI 工作流的镜像存储中。 构建或拉取镜像,然后运行评估。

运行策略评估并在本地镜像的合规性时触发失败 比您的比较基线差,您需要指定镜像版本 以用作基准。您可以对特定的镜像引用进行硬编码,但 更好的解决方案是使用环境从环境中自动推断镜像版本。示例 follows 使用环境将 CI 镜像与环境中的镜像进行比较。production

以下有关如何在 CI 中运行策略评估的示例使用 Docker Scout GitHub Action 设置为 对 CI 构建的镜像执行命令。compare 命令具有 一个输入,它将针对名为 .input 设置为 ,这意味着 仅当策略合规性恶化时,比较才会失败。compareto-envproductionexit-onpolicy

此示例不假定您使用 Docker Hub 作为容器 注册表。因此,此工作流使用两次:docker/login-action

  • 一次用于对容器注册表进行身份验证。
  • 再次向 Docker 进行身份验证以提取镜像的分析结果。production

如果您使用 Docker Hub 作为容器注册表,则只需进行身份验证 一次。

注意

由于 Docker Engine 中的限制,加载多平台镜像或 不支持证明镜像存储的镜像。

要使策略评估正常工作,您必须将镜像加载到本地镜像 运行器的存储。确保您正在构建单平台镜像 没有证明,并且您正在加载构建结果。否则 策略评估失败。

另请注意作业的权限。Docker 侦察兵 GitHub Action 通过以下方式添加包含评估结果的拉取请求评论 default,这需要此权限。有关详细信息,请参阅 Pull Request Commentspull-requests: write

name: Docker

on:
  push:
    tags: ["*"]
    branches:
      - "main"
  pull_request:
    branches: ["**"]

env:
  REGISTRY: docker.io
  IMAGE_NAME: <IMAGE_NAME>
  DOCKER_ORG: <ORG>

jobs:
  build:
    permissions:
      pull-requests: write

    runs-on: ubuntu-latest
    steps:
      - name: Log into registry ${{ env.REGISTRY }}
        uses: docker/login-action@v3
        with:
          registry: ${{ env.REGISTRY }}
          username: ${{ secrets.REGISTRY_USER }}
          password: ${{ secrets.REGISTRY_TOKEN }}
      
      - name: Setup Docker buildx
        uses: docker/setup-buildx-action@v3

      - name: Extract metadata
        id: meta
        uses: docker/metadata-action@v5
        with:
          images: ${{ env.IMAGE_NAME }}

      - name: Build image
        id: build-and-push
        uses: docker/build-push-action@v4
        with:
          tags: ${{ steps.meta.outputs.tags }}
          labels: ${{ steps.meta.outputs.labels }}
          sbom: ${{ github.event_name != 'pull_request' }}
          provenance: ${{ github.event_name != 'pull_request' }}
          push: ${{ github.event_name != 'pull_request' }}
          load: ${{ github.event_name == 'pull_request' }}

      - name: Authenticate with Docker
        uses: docker/login-action@v3
        with:
          username: ${{ secrets.DOCKER_USER }}
          password: ${{ secrets.DOCKER_PAT }}

      - name: Compare
        if: ${{ github.event_name == 'pull_request' }}
        uses: docker/scout-action@v1
        with:
          command: compare
          image: ${{ steps.meta.outputs.tags }}
          to-env: production
          platform: "linux/amd64"
          ignore-unchanged: true
          only-severities: critical,high
          organization: ${{ env.DOCKER_ORG }}
          exit-on: policy

以下屏幕截图显示了 GitHub PR 注释在 策略评估检查失败,因为 PR 镜像中的策略变得更糟 与基线相比。

Policy evaluation comment in GitHub PR

此示例演示了如何使用 GitHub 在 CI 中运行策略评估 行动。Docker Scout 还支持其他 CI 平台。有关更多信息, 请参阅 Docker Scout CI 集成