将Docker Scout与GitHub集成

GitHub 应用程序与 Docker Scout 的集成使 Docker Scout 能够访问您在 GitHub 上的源代码仓库。这种对镜像创建过程的增强可见性意味着 Docker Scout 可以为您提供自动化和上下文相关的修复建议。

工作原理

当您启用GitHub集成时，Docker Scout可以在镜像分析结果和源代码之间建立直接链接。

在分析您的镜像时，Docker Scout 会检查 来源证明 以检测 镜像的源代码仓库位置。如果找到源代码位置，并且您已启用 GitHub 应用，Docker Scout 会解析用于创建镜像的 Dockerfile。

解析Dockerfile可以揭示用于构建镜像的基础镜像标签。通过了解使用的基础镜像标签，Docker Scout可以检测标签是否过时，这意味着它已被更改为不同的镜像摘要。例如，假设您正在使用alpine:3.18作为您的基础镜像，并且在稍后的时间点，镜像维护者发布了包含安全修复的3.18版本的补丁版本。您一直在使用的alpine:3.18标签变得过时；您正在使用的alpine:3.18不再是最新的。

当这种情况发生时，Docker Scout 会检测到差异并通过 最新基础镜像策略 显示出来。当 GitHub 集成启用时，您还会收到关于如何更新基础镜像的自动化建议。有关 Docker Scout 如何帮助您自动改善供应链行为和安全状况的更多信息，请参阅 修复。

设置

要将Docker Scout与您的GitHub组织集成：

1. 前往 GitHub 集成 在 Docker Scout 仪表板上。

2. 选择集成GitHub应用按钮以打开GitHub。

3. 选择您想要集成的组织。

4. 选择是否要集成GitHub组织中的所有仓库或手动选择仓库。

5. 选择安装 & 授权以将Docker Scout应用程序添加到组织中。

   这将重定向您回到Docker Scout仪表板，该仪表板列出了您活动的GitHub集成。

GitHub 集成现已激活。