ACTUALITZACIÓ DE IMATGES DOCKER

Hem actualitzat el Dockerfile amb tres millores importants:

Multi-stage build — Separem la construcció en dues etapes. L’etapa builder instal·la totes les dependències, i l’etapa runner és la imatge final que va a producció: més petita, sense eines de compilació, menys superfície d’atac.

Configuració agentless — L’aplicació corre com un usuari no-root (appuser) sense privilegi d’escalada. El filesystem és de només lectura. Sense shell interactiu. Sense eines de debug innecessàries.

Escaneig amb Trivy — Hem creat scripts/scan.sh que escaneja automàticament totes les imatges del projecte buscant vulnerabilitats HIGH i CRITICAL, i genera informes JSON a la carpeta /reports/.

Per a que serveix? Imatges segures i mínimes redueixen dràsticament la superfície d’atac. En entorns de producció, un CVE crític en una imatge pot comprometre tot el sistema. Trivy integrat al pipeline detecta problemes abans que arribin a producció.