CVE в образе: сканер находит, но кто исправляет? Сканер показал CVE в образе. Он только фиксирует факт; устранять уязвимость и нести риски — ваша зона ответственности. Что обычно делают: • Пересобрать образ сами — обновить базовый образ или пакеты, прогнать пайплайн. Плюс: полный контроль. Минус: время, экспертиза, регламент обновлений на вас. • Ждать апдейт от вендора — если образ сторонний. Плюс: не вы чините. Минус: образ может уже быть в контуре, окно уязвимости открыто, аудиту это не нравится. • Временно исключить из политики — «принят риск». Часто временная мера тянется надолго; при проверках по 152-ФЗ, ЦБ, PCI DSS объяснять сложнее. Альтернатива: брать образы, в которых CVE уже минимизированы на этапе сборки (hardened). Сканер меньше срабатывает, аудиту проще предъявить обоснование, меньше операционки на вашей стороне. В следующих постах — про цепочку поставок, SBOM и что спросит регулятор. Подписывайтесь, чтобы не пропустить.