Контейнеры ускоряют доставку, но вместе с образом в прод часто уезжают уязвимые пакеты, секреты и ошибки конфигурации. Поэтому сканер контейнеров в CI/CD — уже не “опция”, а базовый контроль безопасности.
Зачем это нужно:
- находить CVE в base image и зависимостях
- блокировать сборку при критических рисках
- отслеживать утечки секретов
- проверять Dockerfile, IaC и конфигурации
- снижать риск поставки уязвимого релиза 🚨
1. Trivy
Один из самых популярных open-source сканеров.
Что умеет:
- сканирует container images, filesystem, git repo
- ищет уязвимости, misconfigurations, secrets
- поддерживает Kubernetes и IaC
- легко встраивается в GitHub Actions, GitLab CI, Jenkins
Плюсы:
- быстрый старт
- понятный CLI
- широкий охват проверок
- бесплатный и удобный для большинства команд
Когда подходит:
- нужен универсальный сканер “из коробки”
- важна простая интеграция в CI
- нужен баланс между глубиной и скоростью ⚙️
2. Snyk
Коммерческий инструмент с сильным фокусом на developer-first security.
Что умеет:
- сканирует образы, зависимости, Dockerfile, IaC
- показывает, какие пакеты тянут уязвимости
- предлагает remediation: что обновить и как исправить
- интегрируется с SCM, CI/CD и registry
Плюсы:
- удобный интерфейс
- хорошая аналитика и приоритизация
- сильная работа с зависимостями приложений
- подходит для DevSecOps-процессов в крупных командах
Минусы:
- многие полезные функции завязаны на платные тарифы 💰
Когда подходит:
- нужна не только проверка, но и управление уязвимостями
- важны отчёты для команды и бизнеса
- нужен SaaS-подход и зрелый workflow
3. Grype
Open-source сканер от Anchore, ориентирован на поиск уязвимостей в образах и файловых системах.
Что умеет:
- анализирует container images и SBOM
- хорошо работает в связке с Syft
- подходит для автоматизации в pipelines
- поддерживает разные источники данных об уязвимостях
Плюсы:
- хорош для SBOM-first подхода
- лёгкий и удобный в автоматизации
- open-source без vendor lock-in 🧩
Когда подходит:
- в процессе уже используется SBOM
- нужен прозрачный и гибкий security pipeline
- важна интеграция в собственные процессы
Что выбрать в CI/CD
- Trivy — лучший старт для большинства команд
- Snyk — если нужна платформа, отчёты и рекомендации по исправлению
- Grype — если строите зрелый open-source pipeline вокруг SBOM
Практика внедрения
- сканируйте образ на этапе build
- задайте fail policy по Critical/High
- отдельно проверяйте base images
- не полагайтесь только на один сканер
- регулярно обновляйте базы уязвимостей 🔎
Главная мысль: контейнерный сканер в CI не делает систему “безопасной автоматически”, но сильно сокращает окно риска и помогает ловить проблемы до релиза. Для быстрого старта чаще всего выбирают Trivy, для enterprise-подхода — Snyk, для open-source и SBOM-практик — Grype.
📚 Ниже стоит посмотреть подборку каналов про IT — там много полезного по DevOps, security и CI/CD.