ci: add Trivy image scan to Gitea Actions

Между `docker compose build` и `docker compose up -d` сканируется свежий
образ `anotherreflections-ru-v2:latest`. Severity HIGH+CRITICAL, exit-code 0
(не блокирует деплой первое время). Образ Trivy с ghcr.io — обход
Docker Hub rate limit (как в hhivp-website коммит 0189256).
This commit is contained in:
Dmitry Gusev
2026-05-21 13:45:24 +03:00
parent 291d5a5a98
commit 3fa659fb7d

View File

@@ -42,6 +42,21 @@ jobs:
cd "$DEPLOY_PATH" cd "$DEPLOY_PATH"
docker compose build docker compose build
# Trivy scan локально собранного образа (HIGH+CRITICAL, не блокирует).
# ghcr.io вместо docker.io — обход rate limit Docker Hub.
echo "=== Trivy scan: anotherreflections-ru-v2:latest ==="
docker run --rm \
-v /var/run/docker.sock:/var/run/docker.sock \
-v /tmp/trivy-cache:/root/.cache/ \
ghcr.io/aquasecurity/trivy:latest image \
--severity HIGH,CRITICAL \
--no-progress \
--exit-code 0 \
--timeout 5m \
anotherreflections-ru-v2:latest || true
echo "=== Trivy scan done ==="
docker compose up -d docker compose up -d
sleep 5 sleep 5
docker compose ps docker compose ps