fix trivy registry issue

Nikolay1224 · Nikolay1224 · commit 0b9243819e79 · 2025-05-15T12:25:14.000+03:00
Signed-off-by: Nikolay Mordvintsev &lt;nikolay.mordvintsev@flant.com&gt;
diff --git a/cve_scan/action.yml b/cve_scan/action.yml
@@ -82,8 +82,8 @@ runs:
         echo "======================================================="
         echo
         echo "Log in to registries"
-        echo ${{inputs.prod_registry_password}} | docker login --username="${{inputs.prod_registry_user}}" --password-stdin ${{inputs.prod_registry}}
-        echo ${{inputs.dev_registry_password}} | docker login --username="${{inputs.dev_registry_user}}" --password-stdin ${{inputs.dev_registry}}
+        echo "${{inputs.prod_registry_password}}" | docker login --username="${{inputs.prod_registry_user}}" --password-stdin ${{inputs.prod_registry}}
+        echo "${{inputs.dev_registry_password}}" | docker login --username="${{inputs.dev_registry_user}}" --password-stdin ${{inputs.dev_registry}}
         echo
         echo "======================================================="
         echo
@@ -96,8 +96,8 @@ runs:
 
         echo "Updating Trivy Data Bases"
         mkdir -p "${workdir}/bin/trivy_cache"
-        ${workdir}/bin/trivy image --download-db-only --db-repository "${TRIVY_DB_URL}" --cache-dir "${workdir}/bin/trivy_cache"
-        ${workdir}/bin/trivy image --download-java-db-only --java-db-repository "${TRIVY_JAVA_DB_URL}" --cache-dir "${workdir}/bin/trivy_cache"
+        ${workdir}/bin/trivy image --username "${{inputs.prod_registry_user}}" --password "${{inputs.prod_registry_password}}" --download-db-only --db-repository "${TRIVY_DB_URL}" --cache-dir "${workdir}/bin/trivy_cache"
+        ${workdir}/bin/trivy image --username "${{inputs.prod_registry_user}}" --password "${{inputs.prod_registry_password}}" --download-java-db-only --java-db-repository "${TRIVY_JAVA_DB_URL}" --cache-dir "${workdir}/bin/trivy_cache"
         echo
         echo "======================================================="
         echo
@@ -140,9 +140,13 @@ runs:
           dd_full_release_tag=""
           dd_image_version="${module_tag}"
           module_image="${DEV_REGISTRY_MODULE_BASEDIR}/${MODULE_NAME}"
+          trivy_registry_user="${DEV_REGISTRY_USER}"
+          trivy_registry_pass="${DEV_REGISTRY_PASSWORD}"
           # If we are scanning release images - we need to redefine image path to prod registry
           if echo "${module_tag}" | grep -q "^v[0-9]*\.[0-9]*\.[0-9]*" && [[ "${{ github.event_name }}" != "pull_request" ]]; then
             module_image="${PROD_REGISTRY_MODULE_BASEDIR}/${MODULE_NAME}"
+            trivy_registry_user="${PROD_REGISTRY_USER}"
+            trivy_registry_pass="${PROD_REGISTRY_PASSWORD}"
             dd_short_release_tag="release:$(echo ${module_tag} | cut -d '.' -f -2 | sed 's/^v//')"
             dd_full_release_tag="image_release_tag:${module_tag}"
             dd_image_version="$(echo ${dd_short_release_tag} | sed 's/^release\://')"
@@ -183,14 +187,14 @@ runs:
 
             if [ "$additional_image_detected" == true ]; then
               if [ "${TRIVY_REPORTS_LOG_OUTPUT}" != "false" ]; then
-                ${workdir}/bin/trivy i --policy "${TRIVY_POLICY_URL}" --cache-dir "${workdir}/bin/trivy_cache" --skip-db-update --skip-java-db-update --exit-code 0 --severity "${SEVERITY}" --ignorefile "${module_workdir}/.trivyignore" --format table --scanners vuln --quiet "${module_image}:${module_tag}"
+                ${workdir}/bin/trivy i --policy "${TRIVY_POLICY_URL}" --cache-dir "${workdir}/bin/trivy_cache" --skip-db-update --skip-java-db-update --exit-code 0 --severity "${SEVERITY}" --ignorefile "${module_workdir}/.trivyignore" --format table --scanners vuln --quiet "${module_image}:${module_tag}" --username "${trivy_registry_user}" --password "${trivy_registry_pass}" --image-src remote
               fi
-              ${workdir}/bin/trivy i --policy "${TRIVY_POLICY_URL}" --cache-dir "${workdir}/bin/trivy_cache" --skip-db-update --skip-java-db-update --exit-code 0 --severity "${SEVERITY}" --ignorefile "${module_workdir}/.trivyignore" --format json --scanners vuln --output "${module_reports}/d8_${MODULE_NAME}_${IMAGE_NAME}_report.json" --quiet "${module_image}:${module_tag}"
+              ${workdir}/bin/trivy i --policy "${TRIVY_POLICY_URL}" --cache-dir "${workdir}/bin/trivy_cache" --skip-db-update --skip-java-db-update --exit-code 0 --severity "${SEVERITY}" --ignorefile "${module_workdir}/.trivyignore" --format json --scanners vuln --output "${module_reports}/d8_${MODULE_NAME}_${IMAGE_NAME}_report.json" --quiet "${module_image}:${module_tag}" --username "${trivy_registry_user}" --password "${trivy_registry_pass}" --image-src remote
             else
               if [ "${TRIVY_REPORTS_LOG_OUTPUT}" != "false" ]; then
-                ${workdir}/bin/trivy i --policy "${TRIVY_POLICY_URL}" --cache-dir "${workdir}/bin/trivy_cache" --skip-db-update --skip-java-db-update --exit-code 0 --severity "${SEVERITY}" --ignorefile "${module_workdir}/.trivyignore" --format table --scanners vuln --quiet "${module_image}@${IMAGE_HASH}"
+                ${workdir}/bin/trivy i --policy "${TRIVY_POLICY_URL}" --cache-dir "${workdir}/bin/trivy_cache" --skip-db-update --skip-java-db-update --exit-code 0 --severity "${SEVERITY}" --ignorefile "${module_workdir}/.trivyignore" --format table --scanners vuln --quiet "${module_image}@${IMAGE_HASH}" --username "${trivy_registry_user}" --password "${trivy_registry_pass}" --image-src remote
               fi
-              ${workdir}/bin/trivy i --policy "${TRIVY_POLICY_URL}" --cache-dir "${workdir}/bin/trivy_cache" --skip-db-update --skip-java-db-update --exit-code 0 --severity "${SEVERITY}" --ignorefile "${module_workdir}/.trivyignore" --format json --scanners vuln --output "${module_reports}/d8_${MODULE_NAME}_${IMAGE_NAME}_report.json" --quiet "${module_image}@${IMAGE_HASH}"
+              ${workdir}/bin/trivy i --policy "${TRIVY_POLICY_URL}" --cache-dir "${workdir}/bin/trivy_cache" --skip-db-update --skip-java-db-update --exit-code 0 --severity "${SEVERITY}" --ignorefile "${module_workdir}/.trivyignore" --format json --scanners vuln --output "${module_reports}/d8_${MODULE_NAME}_${IMAGE_NAME}_report.json" --quiet "${module_image}@${IMAGE_HASH}" --username "${trivy_registry_user}" --password "${trivy_registry_pass}" --image-src remote
             fi
             echo "    Done"
             echo ""
