syoul/g1flux
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity

fix: sbom-generate — alpine + syft pinné via GitHub releases
ci/woodpecker/push/woodpecker Pipeline failed
Details

Browse Source 
anchore/syft:vX est distroless (pas de /bin/sh), incompatible avec
les commands Woodpecker. Retour sur alpine:3.20 avec téléchargement
direct du tarball v1.42.3 depuis GitHub releases (pas install.sh
qui tire latest).

Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>
This commit is contained in:
syoul
2026-03-24 12:14:16 +01:00
parent 77f5f44758
commit c02f207b6c
1 changed files with 5 additions and 1 deletions
Download Patch File Download Diff File Expand all files Collapse all files
.woodpecker.yml
+5 -1
View File
@@ -48,10 +48,14 @@ steps:
# Utilise l'image officielle anchore/syft pour eviter le bug d'auto-detection # Utilise l'image officielle anchore/syft pour eviter le bug d'auto-detection
# de container (signal Go imprime en adresse memoire sur alpine + curl install) # de container (signal Go imprime en adresse memoire sur alpine + curl install)
- name: sbom-generate - name: sbom-generate
image: anchore/syft:v1.42.3 image: alpine:3.20
volumes: volumes:
- /var/run/docker.sock:/var/run/docker.sock - /var/run/docker.sock:/var/run/docker.sock
environment:
SYFT_VERSION: "1.42.3"
commands: commands:
- apk add --no-cache curl tar
- curl -sSfL "https://github.com/anchore/syft/releases/download/v${SYFT_VERSION}/syft_${SYFT_VERSION}_linux_amd64.tar.gz" | tar xz -C /usr/local/bin syft
- mkdir -p .reports - mkdir -p .reports
- syft packages docker:g1flux:latest -o cyclonedx-json=.reports/sbom-app.cyclonedx.json - syft packages docker:g1flux:latest -o cyclonedx-json=.reports/sbom-app.cyclonedx.json
- echo "SBOM genere" - echo "SBOM genere"