THEKROLL-LTD/mirror-Plausible

# mirror-Plausible [plausible/analytics](https://github.com/plausible/analytics)（社区版）的加固容器镜像。THEKROLL 的内部 Plausible 镜像，作为参考构建公开发布。 ## 本仓库的作用 每天晚上，本仓库中的 GitHub Actions 流水线会执行以下操作： 1. 检查 `plausible/analytics` 是否有新的发布标签 2. 如果有，则克隆上游源码，应用我们的 `Dockerfile.override`，并重新构建镜像 3. 构建镜像一次，使用 Trivy 进行扫描（将 SARIF 结果输出到 Security 选项卡），并生成 CycloneDX SBOM 4. 如果未发现存在可用修复的 `CRITICAL` 或 `HIGH` 级别漏洞：推送到 `ghcr.io/thekroll-ltd/plausible` 并开启一个摘要锁定（digest-pin）PR 5. 如果发现漏洞：阻止推送，开启一个 Issue，并保留完整的审计包 90 天 最终产物是一个基于按摘要锁定的基础镜像重新构建的镜像，移除了 `certbot`（运维人员应在反向代理处终止 TLS）并填充了 OCI 标签，同时包含了供应链审计所需的所有产物。 ## 镜像 `ghcr.io/thekroll-ltd/plausible:` 和 `ghcr.io/thekroll-ltd/plausible@sha256:`。 标签追踪上游 Plausible CE 的发布版本。摘要是权威的锁定凭证。 ## 与 `ghcr.io/plausible/community-edition` 的差异 - 构建和运行时的基础镜像均已**按摘要锁定**。上游仅锁定标签。 - **移除了 `certbot`**，不再包含于运行时层中（节省了约 30 MB 的 Python 目录，降低了攻击面）。请将 Plausible 运行在终止 TLS 的反向代理之后——这是唯一合理的生产部署姿态，这使得内置的 certbot 变成了累赘。 - **填充了 OCI 标签**（`source`、`version`、`licenses`、`vendor`），因此 `docker inspect` 可以自我识别构建信息。 - 除此之外，在基础镜像和 apk 包集合方面与上游字节等价：相同的 MIX_ENV=ce，相同的 nonroot UID 999，相同的 entrypoint，相同的暴露端口和相同的卷。 未对任何应用源码进行补丁修改。 ## 无 SLA 保证 这是 THEKROLL 自己的内部构建，公开仅作参考之用。不提供服务等级协议（SLA）、无支持承诺、无兼容性保证。调度、保留和可用性可能会在不另行通知的情况下发生变化。 **对于生产关键型使用场景**，请复刻（fork）该模板并运行您自己的流水线：[THEKROLL-LTD/oss-mirror-build](https://github.com/THEKROLL-LTD/oss-mirror-build)。五分钟的设置即可让您在自主拥有的控制下运行，并制定您自己的 SLA。 ## 许可证 本仓库中的构建系统——包括工作流 YAML、Dockerfile 覆盖文件、文档——均采用 Apache-2.0 许可证授权。详见 [`LICENSE`](LICENSE)。 此处生成的容器镜像包含采用 AGPL-3.0 许可证的 Plausible Analytics CE。这些镜像继承 AGPL-3.0 许可证。通过网络暴露该镜像的运维人员必须遵守 AGPL §13（远程网络交互）。详见 [`NOTICE.md`](NOTICE.md)。 ## 相关链接 - **上游仓库：** [github.com/plausible/analytics](https://github.com/plausible/analytics) (AGPL-3.0) - **本仓库复刻自的模板：** [THEKROLL-LTD/oss-mirror-build](https://github.com/THEKROLL-LTD/oss-mirror-build) (Apache-2.0) - **姊妹镜像：** [THEKROLL-LTD/mirror-Gokapi](https://github.com/THEKROLL-LTD/mirror-Gokapi) ## 维护团队 [THEKROLL](https://thekroll.ltd) —— 来自塞浦路斯的 DevOps 咨询公司。对于生产关键型使用场景，请不要依赖此镜像；请复刻该模板并在 [`THEKROLL-LTD/oss-mirror-build`](https://github.com/THEKROLL-LTD/oss-mirror-build) 运行您自己的流水线。

标签：CycloneDX, DevSecOps, Docker, GHCR, GitHub Actions, GitHub Advanced Security, HTTPS, OCI标准, Plausible, SARIF, SBOM, Web截图, 上游代理, 参考架构, 反向代理, 基础镜像, 安全加固, 安全防御评估, 容器安全, 容器镜像, 开源镜像, 搜索语句（dork）, 摘要锁定, 最小化攻击面, 硬件无关, 网站分析, 网络安全, 自动笔记, 请求拦截, 软件供应链安全, 远程方法调用, 隐私保护, 隐私分析