将 Docker Scout 与 GitHub 集成

Docker Scout 的 GitHub 应用集成授予 Docker Scout 访问您在 GitHub 上的源代码仓库的权限。这种改进的可见性可以了解您的镜像是如何创建的，这意味着 Docker Scout 可以为您提供自动化且具有上下文的修复建议。

工作原理

启用 GitHub 集成后，Docker Scout 可以直接链接镜像分析结果和源代码。

在分析您的镜像时，Docker Scout 会检查provenance attestations（来源证明）以检测镜像源代码仓库的位置。如果找到了源代码位置并且您启用了 GitHub 应用，Docker Scout 会解析用于创建镜像的 Dockerfile。

解析 Dockerfile 会揭示用于构建镜像的基础镜像标签。通过了解所使用的基础镜像标签，Docker Scout 可以检测标签是否已过时，这意味着它已被更改为不同的镜像摘要。例如，假设您使用 alpine:3.18 作为您的基础镜像，稍后镜像维护者发布了 3.18 版本的一个补丁版本，其中包含安全修复程序。您一直在使用的 alpine:3.18 标签会变得过时；您使用的 alpine:3.18 不再是最新版本。

发生这种情况时，Docker Scout 会检测到此差异并通过Up-to-Date Base Images policy（最新基础镜像策略）将其显示出来。启用 GitHub 集成后，您还会获得如何更新基础镜像的自动化建议。有关 Docker Scout 如何帮助您自动改进供应链行为和安全态势的更多信息，请参阅Remediation（修复）。

设置

将 Docker Scout 与您的 GitHub 组织集成

1. 在 Docker Scout Dashboard（仪表盘）上转到GitHub integration（GitHub 集成）。

2. 选择 Integrate GitHub app（集成 GitHub 应用）按钮以打开 GitHub。

3. 选择您要集成的组织。

4. 选择您是要集成 GitHub 组织中的所有仓库，还是手动选择部分仓库。

5. 选择 Install & Authorize（安装并授权）以将 Docker Scout 应用添加到组织。

   这将把您重定向回 Docker Scout Dashboard（仪表盘），其中列出了您激活的 GitHub 集成。

GitHub 集成现已激活。