ci: add vulnerability scan (!115) · Merge requests · Designsystem / Sikt komponentbibliotek

Kristoffer Nordström requested to merge 42tte/chore-add-trivy into main Jun 27, 2023

@anph @patsle @maskj Det är något som detta jag ser för mig i Admissio SB-621.

Sikt verkar inte ha bättre verktyg pt än Trivy. Fördelen jämfört med npm audit är att Trivy inte tar med devDeps. Men i den bästa av världar skulle vi ha bättre tooling.
Pipelinen kör även om scanningen failar. Scanningen körs ~~bara vid ändringar i package-lock~~ alltid (insåg att fel kan ha rapporterats även om inga uppdateringar skett, helst borde kanske detta vara ett separat schemalagt jobb) men ger aldrig fail, kör scannen mot filsystemet istället för image för att slippa kopiera package-lock dit. Den skriver ut JSON för ev vidare export + i loggen till jobbet.

Edited Jun 28, 2023 by Kristoffer Nordström

ci: add vulnerability scan

Merge request reports