Compartir comentarios
Las respuestas se generan en base a la documentación.

Integrar Docker Scout con GitHub

Tabla de contenidos
Disponibilidad: Beta

La integración de la aplicación de GitHub para Docker Scout le otorga a Docker Scout acceso a tu repositorio de código fuente en GitHub. Esta visibilidad mejorada sobre cómo se crea tu imagen significa que Docker Scout puede darte sugerencias de corrección automáticas y contextuales.

Cómo funciona

Cuando habilitas la integración de GitHub, Docker Scout puede establecer un enlace directo entre los resultados del análisis de la imagen y el código fuente.

Al analizar tu imagen, Docker Scout busca atestaciones de procedencia (provenance) para detectar la ubicación del repositorio de código fuente de la imagen. Si se encuentra la ubicación de origen y has habilitado la aplicación de GitHub, Docker Scout analiza el Dockerfile utilizado para crear la imagen.

El análisis del Dockerfile revela la etiqueta (tag) de la imagen base utilizada para compilar la imagen. Al conocer las etiquetas de las imágenes base utilizadas, Docker Scout puede detectar si la etiqueta está desactualizada, lo que significa que ha cambiado a un resumen (digest) de imagen diferente. Por ejemplo, supongamos que estás usando alpine:3.18 como tu imagen base y, en un momento posterior, los mantenedores de la imagen lanzan una versión de parche para la versión 3.18 que contiene correcciones de seguridad. La etiqueta alpine:3.18 que has estado usando queda desactualizada; el alpine:3.18 que estás usando ya no es el más reciente.

Cuando esto sucede, Docker Scout detecta la discrepancia y la muestra a través de la política de imágenes base actualizadas. Cuando la integración de GitHub está habilitada, también obtendrás sugerencias automáticas sobre cómo actualizar tu imagen base. Para obtener más información sobre cómo Docker Scout puede ayudarte a mejorar automáticamente el comportamiento de tu cadena de suministro y tu postura de seguridad, consulta Remediation (Corrección).

Configuración

Para integrar Docker Scout con tu organización de GitHub:

  1. Ve a la integración de GitHub en el Docker Scout Dashboard.

  2. Selecciona el botón Integrate GitHub app para abrir GitHub.

  3. Selecciona la organización que deseas integrar.

  4. Selecciona si deseas integrar todos los repositorios en la organización de GitHub o una selección manual de repositorios.

  5. Selecciona Install & Authorize para agregar la aplicación Docker Scout a la organización.

    Esto te redirigirá de nuevo al Docker Scout Dashboard, que muestra tus integraciones activas de GitHub.

La integración de GitHub ahora está activa.