希望能够提供集成的安全漏洞检测

[hongqn]

容器镜像安全漏洞检测是个重要且有用的事情，目前市面上已经有一些工具，但部署和使用方法相对繁杂，期望 lain 能集成进来以降低使用门槛。期望能够实现确保部署在集群中的镜像是经过了静态安全漏洞分析的，比如通过 Clair 之类的漏洞扫描工具扫描。

建议增加一个 lain scan 命令，触发对当前构建的镜像（也就是 lain deploy 会部署的镜像）的安全漏洞扫描，并报告结果。如果发现安全漏洞，返回值为非零（便于集成在 CI 中）。

以下如果能做到会更好：

• 通过了安全漏洞检查的镜像，会自动打上一个 label ，这样可以在集群上部署一个巡查系统，确保在集群中部署的镜像全部都有该 label
• 在输出报告中，提示该安全漏洞是本 app 引入的，还是 base image 就有（便于快速判断边界，应当是应用开发者自己修，还是向上游报告）
• 报告可以以机器友好的形式输出，便于 CI 保存并展示

[timfeirg]

开发方案

• [ ] 实现 lain build --scan, 里边包含 docker scan 的功能
• [ ] 整合 clair, 允许在 cluster values 里声明 clair endpoint, 如果该集群支持, 则在 scan 的时候顺便也跑一趟
• [ ] 内部试用的时候, 看能否扫出合适的 case, 然后针对 issue 简介里的加分项进行实现

[timfeirg]

经过 https://github.com/timfeirg/lain-cli/pull/5 中的讨论, 决定暂时放弃将漏扫的功能集成进 lain 的想法, 改为直接在 CI 调用漏扫工具, 然后传入 $(lain image) 来执行.

lain image 这个命令已经合入主干, 接下来将会补充文档, 给出用 ci 进行漏扫的示范, 届时 close issue.