THEKROLL-LTD/mirror-Gokapi

# mirror-Gokapi [Forceu/Gokapi](https://github.com/Forceu/Gokapi) 的强化容器镜像。THEKROLL 的内部文件传输镜像，作为参考构建公开发布。 ## 本仓库的作用 每天晚上，本仓库中的 GitHub Actions 流水线会执行以下操作： 1. 检查 `Forceu/Gokapi` 是否有新的 release 标签 2. 如果有，则克隆上游源码，应用我们的 `Dockerfile.override`，并重新构建镜像 3. 构建镜像后，使用 Trivy 对其进行扫描（将 SARIF 结果输出到 Security 选项卡），并生成 CycloneDX SBOM 4. 如果未发现具有可用修复方案的 `CRITICAL` 或 `HIGH` 级别漏洞：推送到 `ghcr.io/thekroll-ltd/gokapi` 并开启一个摘要固定的 PR 5. 如果发现漏洞：阻止推送，开启一个 Issue，并将完整的审计包保留 90 天 最终生成的镜像基于 `gcr.io/distroless/static:nonroot` 重新构建，而非上游的 Alpine 基础镜像，并附带供应链审计所需的所有工件。 ## 镜像 `ghcr.io/thekroll-ltd/gokapi:` 和 `ghcr.io/thekroll-ltd/gokapi@sha256:`。 标签（Tags）与上游 Gokapi 的发布版本保持同步。摘要（Digests）是权威的固定标识。 ## 无 SLA 这是 THEKROLL 自己的内部构建，作为参考公开发布。不提供任何服务级别协议（SLA）、支持承诺或兼容性保证。调度、保留和可用性可能会在不另行通知的情况下发生变化。 **对于生产环境的关键用途**，请复刻（fork）该模板并运行你自己的流水线：[THEKROLL-LTD/oss-mirror-build](https://github.com/THEKROLL-LTD/oss-mirror-build)。五分钟的设置即可让你在自己的所有权下获得相同的控制权，并制定你自己的 SLA。 ## 许可证 本仓库中的构建系统——包括 workflow YAML、Dockerfile 覆盖配置、文档——均在 Apache-2.0 下获得许可。请参阅 [`LICENSE`](LICENSE)。 此处生成的容器镜像包含 Gokapi，其采用 AGPL-3.0 许可。这些镜像继承 AGPL-3.0。通过网络公开该镜像的运营者必须遵守 AGPL §13（远程网络交互）。有关详细信息，请参阅 [`NOTICE.md`](NOTICE.md)。 ## 相关资源 - **上游：** [github.com/Forceu/Gokapi](https://github.com/Forceu/Gokapi) (AGPL-3.0) - **本仓库复刻自的模板：** [THEKROLL-LTD/oss-mirror-build](https://github.com/THEKROLL-LTD/oss-mirror-build) (Apache-2.0) - **背景与理由：** *[停止拉取随机的 Docker 镜像](https://medium.thekroll.ltd/stop-pulling-random-docker-images-c19e94559cc6)* —— 描述此流水线及其运行原因的文章 ## 维护者 [THEKROLL](https://thekroll.ltd) —— 来自塞浦路斯的 DevOps 咨询公司。对于生产环境的关键用途，请不要依赖此镜像；请复刻模板并在 [`THEKROLL-LTD/oss-mirror-build`](https://github.com/THEKROLL-LTD/oss-mirror-build) 运行你自己的流水线。

标签：AGPL-3.0, CycloneDX, DevSecOps, Distroless, GHCR, GitHub Actions, Gokapi, LLM防护, SARIF, SBOM, Web截图, 上游代理, 内部镜像, 参考架构, 夜间构建, 安全基线, 容器安全, 开源镜像, 摘要固定, 教学环境, 文件传输, 无SLA, 日志审计, 硬件无关, 自动笔记, 请求拦截, 镜像加固, 非root运行