Refactoring of the DevSecOps pipeline(s)

[M4rinz]

Ho aggiunto il container scanning alla vostra repo.
Per fare container scanning serve fare docker build ad uno stadio della pipeline, quindi ci mette un po' di tempo. Per questo ho messo il Container Scanning in una pipeline a parte, programmata in maniera tale da girare ogni giorno a mezzanotte (file devsecops_container_scanning.yml). Il file devsecops.yml (il file che esegue la security pipeline originale, diciamo così) non è stato cambiato.
Potrei creare della documentazione per la DevSecOps pipeline con questo nuovo stadio di container scanning, ma sarebbe praticamente uguale a quella della pipeline "originale" (che da voi manca. Ma è disponibile nella demo-repository).

Ecco un po' di cose da sapere:

• Viene creato un report in formato JSON. Per questo report, Trivy (il tool dietro la GitHub Action che fa i controlli di sicurezza) si concentra su livelli di vulnerabilità (severity) HIGH e CRITICAL
• Viene creato un report in formato sarif. Ovvero, vedete le cose nella tab Security della pagina web della repo di GitHub. Per questo report il livello di vulnerabilità è soltanto CRITICAL, perché c'erano veramente troppi (un centinaio, meno di altri gruppi...) alerts (per me) incomprensibili, relativi a problemi che (by the looks of it) non credo siano fixabili da noi. Quindi tanto vale ignorarli. Vedremo se dunque serve a qualcosa. Come al solito, cliccando sul collegamento (security tab -> Code scanning -> click sulla vulnerabilità specifica -> click sul link "CVE-.*") ci sono tutti i dettagli.
• Cambiare questi comportamenti è facilissimo, basta editare i files

Se avete domande scrivetemi, proverò ad aiutarvi

P.S. vedo una vulnerabilità di livello alto nella vostra repo, riguarda il dockerfile e gli utenti. Vedete se si può fixare facilmente (ho uno strano presentimento...). Dovrebbe essere una cosa che è successa anche al gruppo 8, magari provo a chiedere a loro per vedere se è fixabile, almeno lavoro un po' anche io