Haben wir eine Lösung zum Scannen der Bilder, die auf containerisierten Build-Agenten im Jenkins Master erstellt wurden?

Wir haben ein CJOC, in dem alle Build-Agenten flüchtig und dockerisiert sind. Wir führen alle Builds auf diesen Docker-Containern aus, deren Basis-Image Amazon Linux ist. Wir verwenden die Kaniko-Pipeline, um neue dockerlose Docker-Images auf diesen containerisierten Build-Agenten zu erstellen. Ich möchte diese von der Kaniko-Pipeline erstellten Images auf Schwachstellen scannen, bevor ich sie in Amazon ECR pushe. Wir verwenden SNYK für lokale Builds, haben auch das SNYK-Plugin für Jenkins ausprobiert, aber es erfordert einen auf einer statischen VM installierten Docker-Daemon (statische VM, die wir nicht verwenden). Wir haben die Docker-in-Docker-Lösung ausprobiert, die in den Cloudbees-Dokumenten bereitgestellt wird, aber das ist in einer Produktionsumgebung nicht machbar, da wir dem laufenden Container Root-Rechte geben müssen. Gibt es andere Lösungen, die Ihnen einfallen? Wenn Sie eine Idee haben, wie man das beheben kann, senden Sie mir eine E-Mail an mayank.sinha@salesforce.com P.S. Ich habe GitHub Actions verwendet und es scannt die Images im Handumdrehen. Ich hoffe, wir können dasselbe in Cloudbees Jenkins tun.