Esiste un servizio che fornisce immagini Docker certificate e certificate per piattaforme comuni come Python, PHP, Node, Java, ecc. con 0 CVE principali / critici.
Attualmente stiamo usando quelli di RedHat, ma il problema è che, anche se eseguo la scansione dell'immagine RedHat fornita con un livello A (significa pulito), tramite il database CVE del registro attendibile di Docker, ho trovato almeno 50 critici e più di 50 importanti CVEs in loro; pertanto, non riesco a stabilire una linea di base sulla quale sia possibile scansionare le app aggiunte dall'utente per CVE e decidere di non eseguire il test di sicurezza.
Abbiamo bisogno di quel tipo di servizio per stabilire una pipeline di generazione di immagini sicure, in modo da non iniziare a trascurare i CVE a livello di applicazione, una volta sistemati tutti i CVE nelle immagini di base, o ottenere immagini di base in cui tutti i CVE vengono sistemati regolarmente, quindi saremo in grado di decidere chiaramente che il CVE è dovuto all'applicazione e smettere di promuovere l'immagine nella pipeline.