Scan hebdomadaire des vulnérabilités avec Trivy

[thbar]

Cette PR est une étape de plus pour améliorer nos processus en terme de sécurité (conformité/sécurité d'ailleurs), et nous donner de la visibilité sur ces aspects dans le temps.

Dans https://github.com/etalab/transport_deploy/issues/14 j'ai été amené à lancer Trivy, un outil qui permet de scanner des containers Docker notamment, et à vérifier que ça nous permettrait bien de suivre un peu le vieillissement d'une image donnée.

Dans la PR présente, je franchis une étape de plus en lançant un scan hebdomadaire sous forme de GitHub Action.

L'image Docker cible utilisée est directement dynamiquement tirée du Dockerfile, de façon à être à jour.

Pour l'instant le résultat est simplement affiché sous forme de table (voir https://github.com/etalab/transport-site/runs/6507634995?check_suite_focus=true pour un exemple).

J'utilise l'action directement maintenue par l'équipe de Aquasecurity https://github.com/aquasecurity/trivy-action plutôt qu'un Orb CircleCI comme https://circleci.com/developer/orbs/orb/signavio/trivy, car il fallait autoriser des organisations extérieures côté CircleCI.

On pourra dans un second temps intégrer cela à GitHub code scanning, via la standardisation au format "SARIF", toutefois sur un premier test j'ai eu une erreur liée aux permissions (token etc), donc j'ai préféré écourter (https://github.com/aquasecurity/trivy-action#using-trivy-with-github-code-scanning).

[AntoineAugusti]

Me parait bien ! Le tableau détaillant les vulnérabilités est déjà très long...

[thbar]

@AntoineAugusti oui, je vais immédiatement aller faire un update de l'image de départ et vous proposer une PR d'ailleurs. Merci pour la review !