التفتيش العميق للصور

حتى لو كان ملف Dockerfile مكتوباً بشكل جيد، فقد يسحب صورة أساسية (base image) تحتوي على ثغرة.

الأداة: Trivy (مرة أخرى!)

trivy image myapp:v1.0.

يقوم هذا بفحص حزم نظام التشغيل داخل الحاوية (مثل إصدار قديم من OpenSSL داخل صورة Ubuntu). بدمج هذا في CI، نمنع دفع الحاويات الضعيفة أمنياً إلى السجل (registry).