⚠️ Traduction non officielle - Cette documentation est une traduction communautaire non officielle de Docker.

Intégrer Docker Scout avec GitHub

Table des matières
Availability: Beta

L'intégration d'application GitHub pour Docker Scout accorde à Docker Scout l'accès à votre dépôt de code source sur GitHub. Cette visibilité améliorée sur la façon dont votre image est créée signifie que Docker Scout peut vous donner des conseils de remédiation automatisés et contextuels.

Comment ça fonctionne

Lorsque vous activez l'intégration GitHub, Docker Scout peut faire un lien direct entre les résultats d'analyse d'image et la source.

Lors de l'analyse de votre image, Docker Scout vérifie les attestations de provenance pour détecter l'emplacement du dépôt de code source pour l'image. Si l'emplacement source est trouvé, et que vous avez activé l'application GitHub, Docker Scout analyse le Dockerfile utilisé pour créer l'image.

Analyser le Dockerfile révèle le tag d'image de base utilisé pour construire l'image. En connaissant les tags d'images de base utilisés, Docker Scout peut détecter si le tag est obsolète, ce qui signifie qu'il a été changé pour un digest d'image différent. Par exemple, supposons que vous utilisez alpine:3.18 comme votre image de base, et qu'à un moment ultérieur, les mainteneurs d'image publient une version de correctif pour la version 3.18, contenant des corrections de sécurité. Le tag alpine:3.18 que vous avez utilisé devient obsolète ; l'alpine:3.18 que vous utilisez n'est plus le dernier.

Lorsque cela se produit, Docker Scout détecte la divergence et la fait apparaître à travers la politique Images de Base à Jour. Lorsque l'intégration GitHub est activée, vous obtiendrez également des suggestions automatisées sur comment mettre à jour votre image de base. Pour plus d'informations sur comment Docker Scout peut vous aider à améliorer automatiquement la conduite de votre chaîne d'approvisionnement et votre posture de sécurité, voir Remédiation.

Configuration

Pour intégrer Docker Scout avec votre organisation GitHub :

  1. Allez à Intégration GitHub sur le Tableau de bord Docker Scout.

  2. Sélectionnez le bouton Intégrer l'application GitHub pour ouvrir GitHub.

  3. Sélectionnez l'organisation que vous voulez intégrer.

  4. Sélectionnez si vous voulez intégrer tous les dépôts dans l'organisation GitHub ou une sélection manuelle de dépôts.

  5. Sélectionnez Installer & Autoriser pour ajouter l'application Docker Scout à l'organisation.

    Ceci vous redirige vers le Tableau de bord Docker Scout, qui liste vos intégrations GitHub actives.

L'intégration GitHub est maintenant active.