Sprint · Avril 2026

Trivy dans nos pipelines

De l'alerte invisible au contrôle bloquant, au plus près du code.

Qu'est-ce que Trivy ?

Scanner de sécurité open source spécialisé dans les environnements conteneurisés.

  • Images Docker : CVE des OS et langages

  • Dépendances : uv.lock, package.json, etc.

  • Secrets : clés API, tokens, mots de passe

  • IaC & configs : Dockerfile, Kubernetes, Terraform

Trivy dans nos pipelines · Avril 2026

Le constat

Trivy est déjà déployé dans notre infrastructure via Harbor. Il scanne toutes nos images Docker et remonte les vulnérabilités connues.

En pratique, ces rapports ne sont ni consultés, ni actionnés. Des failles critiques restent invisibles pour les équipes de développement.

Objectif — intégrer Trivy dans GitLab CI et GitHub Actions via des composants génériques, pour rendre les résultats incontournables à chaque commit.

Trivy dans nos pipelines · Avril 2026

La solution — composants CI/CD génériques.

Intégration directe dans les pipelines, avec une logique unifiée entre GitLab et GitHub.

🦊

GitLab Catalog

Composants réutilisables publiés dans devops/pipelines/security — inclusion en quelques lignes.

🐙

GitHub Actions

Workflows partagés dans IMIO/gha — même logique, même sorties, même seuils.

🔁

Approche unifiée

Un seul paradigme pour les équipes, quelle que soit la forge utilisée par le projet.

Trivy dans nos pipelines · Avril 2026

GitLab — retour sur apims-ebox

Sévérité Package CVE / Advisory Fix disponible
🔴 HIGH starlette@0.48.0 CVE-2025-62727 0.49.1
🔴 HIGH pillow@12.1.1 CVE-2026-40192 12.2.0
🔴 HIGH tornado@6.5.4 CVE-2026-31958 6.5.5
🔴 HIGH ecdsa@0.19.2 CVE-2024-23342 ❌ pas de fix
🟡 MEDIUM requests@2.32.5 CVE-2026-25645 2.33.0

Sortie JSON structurée · 7 findings · priorisation automatique.

Trivy dans nos pipelines · Avril 2026

GitHub — Claude en analyste sécurité

Une action Claude enrichit automatiquement chaque CVE critique ou haute.

  • Description claire de la faille
  • Impact concret sur le projet
  • Conditions d'exploitation réalistes
  • Commande de remédiation prête à l'emploi

Résultat : une advisory privée par faille dans l'onglet Security.

Trivy dans nos pipelines · Avril 2026

Impact mesuré sur 2 projets

Projet CRITICAL HIGH MEDIUM
buildout.smartweb 0 12 598
docker-teleservices 6 294 1051

Des risques jusqu'ici invisibles, désormais tracés, contextualisés et priorisés.

Trivy dans nos pipelines · Avril 2026

À retenir & prochaines étapes

Acquis du sprint — détection systématique, advisories contextualisées par Claude, approche unifiée GitLab / GitHub.

À venir — déployer les pipelines sur l'ensemble des projets, activer le blocage de la pipeline sur les CVE critiques, étudier un dashboard ou la création automatique d'issues côté GitLab.

DocumentationTrivy & .trivyignore · Composants CI/CD · GitLab pipelines · GitHub actions

Trivy dans nos pipelines · Avril 2026

Merci !

Questions · Échanges · Retours