切换语言

在CI中评估策略合规性

目录

将策略评估添加到您的持续集成(CI)流水线中,有助于您检测并防止因代码变更而导致策略合规性相较于基线变差的情况。

在持续集成(CI)环境中进行策略评估的推荐策略是: 评估本地镜像,并将结果与基线进行比较。如果本地镜像的策略合规性 比指定的基线更差,则CI运行将以错误失败;如果策略合规性更好或保持不变, 则CI运行成功。

此比较是相对的,仅关注您的 CI 镜像相较于基线是更优还是更差。它并非用于对所有策略进行绝对的通过或失败检查。通过与您自定义的基线进行对比衡量,您可以快速判断某项变更是否对策略合规性产生积极或消极的影响。

工作原理

在 CI 中执行策略评估时,您会对 CI 管道中构建的镜像在本地运行策略评估。若要运行本地评估,待评估的镜像必须存在于您的 CI 工作流所运行的镜像存储中。请先构建或拉取该镜像,然后再执行评估。

若要运行策略评估,并在本地镜像的合规性比参考基线更差时触发失败,您需要指定用作基线的镜像版本。您可以硬编码特定的镜像引用,但更好的解决方案是使用 环境 自动从环境中推断镜像版本。以下示例使用环境将 CI 镜像与 production 环境中的镜像进行比较。

示例

以下示例展示了如何在 CI 中运行策略评估,该示例使用 Docker Scout GitHub Action在 CI 中构建的镜像上执行compare命令。该 compare 命令具有一个to-env输入项,用于针对名为production的环境执行比较。exit-on输入项设置为policy,表示仅当策略合规性恶化时,比较才会失败。

本示例不假设您使用 Docker Hub 作为容器镜像仓库。因此,此工作流会两次使用 docker/login-action

  • 用于对您的容器注册表进行身份验证。
  • 再次进行身份验证以拉取您的 production 镜像的分析结果。

如果您使用 Docker Hub 作为容器注册表,则只需进行一次身份验证。

注意

由于Docker Engine存在限制,无法将多平台镜像或带有声明(attestations)的镜像加载到镜像存储中。

为使策略评估正常运行,您必须将镜像加载到 Runner 的本地镜像存储中。请确保您构建的是不带证明(attestations)的单平台镜像,并且已加载构建结果。否则,策略评估将失败。

同时请注意该作业的 pull-requests: write 权限。Docker Scout 的 GitHub Action 默认会向拉取请求添加一条包含评估结果的评论,因此需要此权限。详情请参见 拉取请求评论

name: Docker

on:
  push:
    tags: ["*"]
    branches:
      - "main"
  pull_request:
    branches: ["**"]

env:
  REGISTRY: docker.io
  IMAGE_NAME: <IMAGE_NAME>
  DOCKER_ORG: <ORG>

jobs:
  build:
    permissions:
      pull-requests: write

    runs-on: ubuntu-latest
    steps:
      - name: Log into registry ${{ env.REGISTRY }}
        uses: docker/login-action@v3
        with:
          registry: ${{ env.REGISTRY }}
          username: ${{ secrets.REGISTRY_USER }}
          password: ${{ secrets.REGISTRY_TOKEN }}
      
      - name: Setup Docker buildx
        uses: docker/setup-buildx-action@v3

      - name: Extract metadata
        id: meta
        uses: docker/metadata-action@v5
        with:
          images: ${{ env.IMAGE_NAME }}

      - name: Build image
        id: build-and-push
        uses: docker/build-push-action@v4
        with:
          tags: ${{ steps.meta.outputs.tags }}
          labels: ${{ steps.meta.outputs.labels }}
          sbom: ${{ github.event_name != 'pull_request' }}
          provenance: ${{ github.event_name != 'pull_request' }}
          push: ${{ github.event_name != 'pull_request' }}
          load: ${{ github.event_name == 'pull_request' }}

      - name: Authenticate with Docker
        uses: docker/login-action@v3
        with:
          username: ${{ secrets.DOCKER_USER }}
          password: ${{ secrets.DOCKER_PAT }}

      - name: Compare
        if: ${{ github.event_name == 'pull_request' }}
        uses: docker/scout-action@v1
        with:
          command: compare
          image: ${{ steps.meta.outputs.tags }}
          to-env: production
          platform: "linux/amd64"
          ignore-unchanged: true
          only-severities: critical,high
          organization: ${{ env.DOCKER_ORG }}
          exit-on: policy

以下截图展示了当策略评估检查因PR镜像中的策略相较于基线变差而失败时,GitHub PR评论的显示效果。

Policy evaluation comment in GitHub PR

此示例演示了如何在 CI 中使用 GitHub Actions 执行策略评估。Docker Scout 还支持其他 CI 平台。有关更多信息,请参见 Docker Scout CI 集成