Pipeline che macinano. Build delle immagini. Poi — bam — Trivy ti spara una CVE critica dalla base Alpine, proprio mentre stai per spingere in produzione.
GitLab Container Scanning non lascia correre. È integrata nel CI/CD, scansiona le immagini a metà pipeline con cinque approcci su misura (anche se la doc evidenzia il template job base). Il piano gratuito dà le basi; Ultimate sblocca il pieno potenziale. Parliamo di sicurezza shift-left che intercetta il degrado delle immagini base, exploit nei pacchetti, bombe nelle dipendenze — prima che ci pensino gli attaccanti.
Perché GitLab Container Scanning fa la differenza nel 2024
Guardate, le vulnerabilità nei container sono esplose dopo Log4Shell. Vi ricordate il 2021? Metà internet in panico con le dipendenze Java trasformate in backdoor. GitLab ha imparato la lezione: la sua scansione non è un’aggiunta. Sotto il cofano c’è Trivy, si attiva automaticamente sui build, blocca i deploy se imposti bene le soglie. Dato di mercato: Gartner prevede SCA tools oltre i 2 miliardi di dollari entro il 2025, con GitLab che rosicchia quote DevOps a Snyk e Aqua.
Ma ecco il mio punto di vista: l’integrazione con le MR trasforma la sicurezza da “problema del team security” a widget di ogni dev. Niente catene di email. Un click, dettagli sulle vuln, link per rimediare. È come i terminal Bloomberg per la code review: densi di dati, pronti all’azione.
GitLab usa lo scanner di sicurezza Trivy per analizzare le immagini container alla ricerca di vulnerabilità note. Quando la tua pipeline gira, lo scanner esamina le immagini e genera un report dettagliato.
Parole testuali dalla loro doc. Diretto. Onesto.
Versione corta: attivalo, scansiona tutto.
Attiva GitLab Container Scanning — Due vie, zero drammi
Opzione uno: modalità genio pigro. Vai su Secure > Security configuration, clicca “Container Scanning”, scegli merge request. Boom — GitLab genera una MR con l’include .gitlab-ci.yml: template: Jobs/Container-Scanning.gitlab-ci.yml. Merge. Fatto.
Manuale? Stesso include nel tuo YAML. Modifica CS_IMAGE per scan custom (myregistry.com/myapp:latest), o CS_SEVERITY_THRESHOLD: “HIGH” per ignorare la frutta bassa. Le pipeline ripartono, i report atterrano nelle MR.
Abbiamo visto team tagliare settimane sul triage delle vuln così. I numeri non mentono: GitLab riporta fix 40% più veloci per gli utenti Ultimate. Gratuito? Batte comunque docker scout manuale.
E sì, è su diversi piani. Premium aggiunge report; Ultimate, suggerimenti auto-remediation. Upsell intelligente — ti costringe a pagare per la lucidatura.
GitLab Container Scanning becca i fantasmi di produzione?
Prima i widget MR. Scorri su Security Scanning in qualsiasi MR: nuove vuln rosse fiammeggianti, barre di severità, dettaglio per pacchetto. Clicca dentro — diff layer, percorsi exploit. I dev fixano in review; niente fuga in prod.
Allarga: Vulnerability Report sotto Security & Compliance. Aggrega su branch. Filtra per immagine, severità, status. Assegna, commenta, linka issue. È un killer di Jira per i team sec.
Dependency List? Paradiso SBOM. Ogni pacchetto inventariato. Traccia quella dip Node fino alla radice della vuln. In un mondo di paure SolarWinds 2.0, questa trasparenza è imprescindibile.
Ora la critica: GitLab la spaccia come “fluida”. Realtà? I report gratuiti sono basilari — niente trend storici. Ultimate è dove le dinamiche di mercato brillano, con la sicurezza prezzata come oro SaaS.
La mia previsione audace: entro il 2026, GitLab bundlerà remediazioni AI-prioritizzate. Trivy + GitLab Duo? Attacchi supply chain giù del 60% per chi adotta. Parallelo storico: Heartbleed ha ucciso il patching manuale; GitLab resuscita l’igiene automatica.
Configurazioni che fanno la differenza
Override CS_IMAGE: scansiona solo i candidati prod. Risparmi cicli.
Soglie: “CRITICAL” per zero tolleranza; “MEDIUM” per bil
