出于安全原因,我们所有的项目都不允许在Dockerfile,entrypoint.sh中定义环境变量(用于启动应用程序)。目前,我们必须手动审查每个合并请求以确保这一规则,我想知道是否有一些ci工具可以自动完成这项工作,使工作更轻松,谢谢!
GitLab默认带有容器扫描功能,但我不认为它有可能实现这种级别的粒度。在使用Trivy扫描和自定义Trivy策略来检测Dockerfiles中的错误配置的管道中,这是可能的。检测和编写自定义策略需要一些尝试和错误,但我相信这是可以做到的。