在 CI 中評估策略合規性

目錄

在持續整合管道中新增策略評估有助於檢測並防止程式碼更改導致策略合規性相比基線變差的情況。

在 CI 環境中進行策略評估的推薦策略包括評估本地映象並將結果與基線進行比較。如果本地映象的策略合規性比指定的基線差,則 CI 執行將失敗並報錯。如果策略合規性更好或未變,則 CI 執行成功。

這種比較是相對的,這意味著它只關注您的 CI 映象是否比基線更好或更差。它不是透過或失敗所有策略的絕對檢查。透過相對於您定義的基線進行測量,您可以快速檢視更改對策略合規性是產生積極影響還是消極影響。

工作原理

在 CI 中進行策略評估時,您會在 CI 管道中構建的映象上執行本地策略評估。要執行本地評估,您要評估的映象必須存在於執行 CI 工作流的映象儲存中。您可以構建或拉取映象,然後執行評估。

要執行策略評估並在本地映象的合規性比比較基線差時觸發失敗,您需要指定用作基線的映象版本。您可以硬編碼一個特定的映象引用,但更好的解決方案是使用環境自動從環境中推斷映象版本。以下示例使用環境將 CI 映象與生產環境中的映象進行比較。

示例

以下關於如何在 CI 中執行策略評估的示例使用 Docker Scout GitHub Action 在 CI 中構建的映象上執行 compare 命令。compare 命令有一個 to-env 輸入,它將針對名為 production 的環境執行比較。exit-on 輸入設定為 policy,這意味著只有當策略合規性惡化時,比較才會失敗。

此示例不假設您正在使用 Docker Hub 作為容器登錄檔。因此,此工作流兩次使用 docker/login-action

  • 一次用於向容器登錄檔進行身份驗證。
  • 再來一次用於向 Docker 進行身份驗證,以拉取您的 production 映象的分析結果。

如果您使用 Docker Hub 作為容器登錄檔,則只需進行一次身份驗證。

注意

由於 Docker Engine 的限制,不支援將多平臺映象或帶有證明的映象載入到映象儲存中。

為了使策略評估正常工作,您必須將映象載入到執行器的本地映象儲存中。確保您正在構建不帶證明的單平臺映象,並且正在載入構建結果。否則,策略評估將失敗。

另請注意作業的 pull-requests: write 許可權。Docker Scout GitHub Action 預設會在拉取請求評論中新增評估結果,這需要此許可權。有關詳細資訊,請參閱拉取請求評論

name: Docker

on:
  push:
    tags: ["*"]
    branches:
      - "main"
  pull_request:
    branches: ["**"]

env:
  REGISTRY: docker.io
  IMAGE_NAME: <IMAGE_NAME>
  DOCKER_ORG: <ORG>

jobs:
  build:
    permissions:
      pull-requests: write

    runs-on: ubuntu-latest
    steps:
      - name: Log into registry ${{ env.REGISTRY }}
        uses: docker/login-action@v3
        with:
          registry: ${{ env.REGISTRY }}
          username: ${{ secrets.REGISTRY_USER }}
          password: ${{ secrets.REGISTRY_TOKEN }}
      
      - name: Setup Docker buildx
        uses: docker/setup-buildx-action@v3

      - name: Extract metadata
        id: meta
        uses: docker/metadata-action@v5
        with:
          images: ${{ env.IMAGE_NAME }}

      - name: Build image
        id: build-and-push
        uses: docker/build-push-action@v4
        with:
          tags: ${{ steps.meta.outputs.tags }}
          labels: ${{ steps.meta.outputs.labels }}
          sbom: ${{ github.event_name != 'pull_request' }}
          provenance: ${{ github.event_name != 'pull_request' }}
          push: ${{ github.event_name != 'pull_request' }}
          load: ${{ github.event_name == 'pull_request' }}

      - name: Authenticate with Docker
        uses: docker/login-action@v3
        with:
          username: ${{ secrets.DOCKER_USER }}
          password: ${{ secrets.DOCKER_PAT }}

      - name: Compare
        if: ${{ github.event_name == 'pull_request' }}
        uses: docker/scout-action@v1
        with:
          command: compare
          image: ${{ steps.meta.outputs.tags }}
          to-env: production
          platform: "linux/amd64"
          ignore-unchanged: true
          only-severities: critical,high
          organization: ${{ env.DOCKER_ORG }}
          exit-on: policy

以下截圖顯示了當策略評估檢查失敗時 GitHub PR 評論的樣子,因為 PR 映象中的策略比基線更差。

Policy evaluation comment in GitHub PR

此示例演示瞭如何使用 GitHub Actions 在 CI 中執行策略評估。Docker Scout 還支援其他 CI 平臺。有關更多資訊,請參閱Docker Scout CI 整合