You signed in with another tab or window. Reload to refresh your session.You signed out in another tab or window. Reload to refresh your session.You switched accounts on another tab or window. Reload to refresh your session.Dismiss alert
Copy file name to clipboardExpand all lines: README.md
+4-6Lines changed: 4 additions & 6 deletions
Display the source diff
Display the rich diff
Original file line number
Diff line number
Diff line change
@@ -2,7 +2,7 @@
2
2
3
3
Dette repository er et Proof-of-Concept (PoC), der demonstrerer, hvordan man opsætter en automatiseret DevSecOps-pipeline ved hjælp af GitHub Actions og Trivy. Pipelinen scanner et container-image for sårbarheder og anvender både VEX (Vulnerability Exploitability eXchange) og `.trivyignore` til at håndtere og undertrykke fund.
4
4
5
-
Det primære image, der scannes, er `docker.redpanda.com/redpandadata/console:v2.8.5`.
5
+
Det primære image, der scannes, er `docker.redpanda.com/redpandadata/console:v2.8.5`, som i forvejen har specifikke CVE'er, som jeg kender til.
6
6
7
7
## Formål
8
8
@@ -11,7 +11,6 @@ Projektet har til formål at demonstrere:
11
11
2. Korrekt installation og brug af Trivy CLI i et CI/CD-miljø.
12
12
3. Anvendelse af et `openvex.json`-dokument til formelt at erklære status på specifikke sårbarheder.
13
13
4. Anvendelse af en `.trivyignore`-fil som en pragmatisk løsning til at undertrykke sårbarheder.
14
-
5. En robust metode til at håndtere begrænsninger og uventet adfærd i scannings-værktøjer.
15
14
16
15
## Konfiguration og filer
17
16
@@ -21,14 +20,14 @@ Projektet har til formål at demonstrere:
21
20
22
21
***`openvex.json`**: Anvendes til formel dokumentation af sårbarheds-status. I dette projekt undertrykker den:
23
22
*`CVE-2025-31498` i `c-ares`-biblioteket med status `not_affected`.
23
+
*`CVE-2025-22872` i `golang.org/x/net`-pakken med status `not_afffected`
24
24
25
25
***`.trivyignore`**: Anvendes som en simpel og direkte måde at undertrykke sårbarheder på. I dette projekt undertrykker den:
26
26
*`CVE-2025-0913` i `stdlib`-pakken (se "Vigtige Lærdomme" nedenfor).
27
-
*`CVE-2025-22872` i `golang.org/x/net`-pakken.
28
27
29
28
## Vigtige Lærdomme og Workarounds
30
29
31
-
Under opsætningen af dette projekt stødte vi på en specifik og genstridig udfordring med Trivy (testet op til v0.52.2).
30
+
Under opsætningen af dette projekt stødte jeg på en specifik og genstridig udfordring med Trivy (testet op til v0.52.2).
32
31
33
32
**Problem:** Det var ikke muligt at undertrykke en sårbarhed (`CVE-2025-0913`) i Go's standardbibliotek (`stdlib`) ved hjælp af en VEX-fil.
34
33
@@ -41,6 +40,5 @@ Under opsætningen af dette projekt stødte vi på en specifik og genstridig udf
41
40
Den eneste plausible konklusion er, at der findes en bug eller et uofficielt "quirk" i, hvordan Trivy matcher VEX-regler mod `stdlib`.
42
41
43
42
Den valgte løsning er en pragmatisk workaround:
44
-
> Sårbarheden `CVE-2025-0913` blev flyttet fra `openvex.json` til `.trivyignore`-filen, som pålideligt undertrykker den.
43
+
> Sårbarheden `CVE-2025-0913` blev flyttet fra `openvex.json` til `.trivyignore`-filen, som pålideligt undertrykker den. Hertil vil man kunne indkludere en `exp:` linje for at tilføje denne ignorering efter noget tid, hvis nu fejlen skulle være blevet løst.
45
44
46
-
Dette projekt demonstrerer derved en vigtig, realistisk praksis: Brug de formelle værktøjer (som VEX) hvor de virker, og hav en robust fallback-mekanisme (`.trivyignore`) klar til at håndtere værktøjsspecifikke begrænsninger og bugs.
0 commit comments