将 Docker Scout 与 GitHub 集成

Docker Scout 的 GitHub 应用集成允许 Docker Scout 访问您在 GitHub 上的源代码仓库。通过改进对镜像创建方式的可视性，Docker Scout 可以为您提供自动化和情境化的补救建议。

工作原理

启用 GitHub 集成后，Docker Scout 可以在镜像分析结果和源代码之间建立直接链接。

分析您的镜像时，Docker Scout 会检查 来源证明 以检测镜像源代码仓库的位置。如果找到源代码位置，并且您已启用 GitHub 应用，Docker Scout 将解析用于创建镜像的 Dockerfile。

解析 Dockerfile 将显示用于构建镜像的基础镜像标签。通过了解使用的基础镜像标签，Docker Scout 可以检测标签是否已过期，这意味着它已更改为不同的镜像摘要。例如，假设您使用的是 `alpine:3.18` 作为您的基础镜像，并且在稍后的时间点，镜像维护者为 `3.18` 版本发布了补丁版本，其中包含安全修复程序。您一直在使用的 `alpine:3.18` 标签已过期；您正在使用的 `alpine:3.18` 已不再是最新版本。

发生这种情况时，Docker Scout 会检测到差异并通过 最新的基础镜像策略 显示出来。启用 GitHub 集成后，您还将获得有关如何更新基础镜像的自动化建议。有关 Docker Scout 如何帮助您自动改进供应链行为和安全态势的更多信息，请参阅 补救。

设置

要将 Docker Scout 与您的 GitHub 组织集成

1. 访问 Docker Scout 仪表盘上的 GitHub 集成。

2. 选择“**集成 GitHub 应用**”按钮以打开 GitHub。

3. 选择要集成的组织。

4. 选择是要集成 GitHub 组织中的所有仓库，还是手动选择仓库。

5. 选择“**安装并授权**”将 Docker Scout 应用添加到组织。

   这会将您重定向回 Docker Scout 仪表盘，其中列出了您活动的 GitHub 集成。

GitHub 集成现已激活。