¿Hay algún servicio que ofrezca imágenes de Docker certificadas y reforzadas con seguridad para plataformas comunes como Python, PHP, Node, Java, etc. con 0 CVEs principales / críticos?
Actualmente, estamos usando los de RedHat, pero el problema es que incluso si escaneo la imagen provista por RedHat con un nivel A (significa limpio), a través de la base de datos CVE del registro de confianza de Docker, encontré al menos 50 críticas y más de 50 CVEs importantes en ellos; por lo tanto, no puedo establecer una línea de base por encima de la cual puedo escanear las aplicaciones agregadas por el usuario para CVE y podría decidir fallar la prueba de escaneo de seguridad.
Necesitamos ese tipo de servicio para establecer un canal seguro de construcción de imágenes, de modo que no comencemos a pasar por alto en los CVE a nivel de la aplicación, una vez que hayamos corregido todos los CVE en imágenes base u obtengamos imágenes base en las que todos los CVE se están arreglando regularmente, entonces podremos decidir claramente automáticamente que el CVE se debe a la aplicación y dejar de promocionar la imagen en la tubería.