분산된 Docker Base Image 의존성 가시화 및 CVE 대응 자동화 구조 설계

Context

Docker Base Image의 CVE 발생 시 영향도 분석을 위한 소비자 식별 과정에서 Dockerfile, Compose, CI Config 등 참조 경로가 파편화된 구조적 한계 직면. 기존 Grep 기반 검색이나 단일 이미지 분석 도구로는 조직 전체의 실시간 Dependency Graph 구축 및 추적이 불가능한 상황.

Technical Solution

• 전사 리포지토리 대상의 Full-scan 프로세스를 통한 카탈로그 외 비등록 리포지토리 포함 분석
• Dockerfile 내 ARG 변수 치환 로직을 해석하여 실제 참조하는 Image Tag의 정적 분석 수행
• Docker Compose 및 CI Pipeline 설정을 통합 파싱하여 다중 파일 포맷의 의존성 단일 뷰 구축
• Build/Push 명령어를 추적하여 이미지 생산자와 소비자 간의 End-to-End 관계 매핑
• 스케줄링 및 이벤트 기반 재스캔 메커니즘을 통한 Dependency Graph의 최신성 유지
• 아티팩트 중심의 쿼리 인터페이스를 구축하여 특정 베이스 이미지의 Blast Radius 즉시 산출