GitHub ограничивает доступ к базе уязвимостей Trivy

В последний месяц разработчики, использующие Trivy для сканирования контейнеров, столкнулись с серьёзной проблемой: при попытке загрузить базу данных уязвимостей из GitHub Container Registry (ghcr.io) возникает ошибка TOOMANYREQUESTS. Это связано с тем, что GitHub начал ограничивать количество подключений к своему реестру, что негативно сказывается на работе Trivy и создаёт дополнительные трудности для разработчиков.

Проблема с доступом к базе данных

GitHub начал ограничивать количество запросов к своей базе. Это значит, что если слишком много людей или программ пытаются одновременно получить доступ к базе данных уязвимостей для Trivy, которая хранится на GitHub, то они могут столкнуться с ошибкой TOOMANYREQUESTS:

Если разработчики не смогут получить доступ к базе данных уязвимостей, они не смогут проверить свои приложения на наличие потенциальных проблем. Это может привести к тому, что уязвимые приложения будут использоваться в продакшене, что может быть опасно.

На данный момент мейнтейнеры Trivy рекомендуют использовать сторонние container registry для скачивания базы данных.

Вытекающие проблемы 

В результате «маленькие» разработчики могут столкнуться с серьёзными проблемами. 

Многие небольшие команды и разработчики не имеют возможности создать собственный container registry для хранения базы данных уязвимостей. Для этого необходимо развернуть инфраструктуру, которая требует времени и ресурсов. В условиях ограниченного бюджета и небольших проектов такие затраты могут оказаться непосильными. Как следствие, многие разработчики вынуждены полагаться на общедоступные решения, которые не всегда могут обеспечить необходимую надёжность и доступность.

Максим Набоких, руководитель разработки Deckhouse Kubernetes Platform

Ситуация усугубляется тем, что разработчики начали создавать множество копий одной и той же базы данных уязвимостей. 

Это может привести к тому, что база данных окажется разбросанной по различным реестрам без контроля её актуальности. В результате существует риск использования устаревших или небезопасных данных, что может поставить под угрозу безопасность приложений.

Максим Набоких, руководитель разработки Deckhouse Kubernetes Platform

P. S.

Читайте другие новости в нашем блоге:

• Deckhouse Kubernetes Platform стала первой сертифицированной платформой контейнеризации в России

• Перевели 20 новых определений из глоссария CNCF на русский

• «Флант» получает 3 миллиарда рублей от Postgres Professional: новый этап в развитии Deckhouse