Escaneo de imagenes de contenedor
¿Qué es Escaneo de imagenes de contenedor?
Escaneo de imagenes de contenedorPractica de analizar imagenes OCI/Docker en busca de vulnerabilidades conocidas, secretos, malware e infracciones de politica antes de desplegarlas en un runtime de contenedores.
El escaneo de imagenes inspecciona cada capa de una imagen OCI —sistema base, paquetes de lenguaje, binarios embebidos y metadatos— para identificar CVE conocidas, credenciales en claro, firmas de malware y configuraciones no conformes. Las herramientas se dividen en dos familias: escaneres de codigo abierto (Trivy de Aqua Security, Grype de Anchore, Clair y Docker Scout) y CNAPPs comerciales (Snyk Container, Prisma Cloud, Wiz, Sysdig Secure). Los escaneos suelen ejecutarse en tres puntos: la maquina del desarrollador, el pipeline CI (fallando las builds que violen politica) y la admision en el registro. Los programas modernos generan tambien SBOM firmados que alimentan sistemas de atestacion de cadena de suministro como Sigstore y SLSA.
● Ejemplos
- 01
Fallar un job de GitHub Actions cuando la imagen base contiene una vulnerabilidad CVSS 9.8 en openssl.
- 02
Bloquear el despliegue de una imagen con un .npmrc filtrado y un token de publicacion npm.
● Preguntas frecuentes
¿Qué es Escaneo de imagenes de contenedor?
Practica de analizar imagenes OCI/Docker en busca de vulnerabilidades conocidas, secretos, malware e infracciones de politica antes de desplegarlas en un runtime de contenedores. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Escaneo de imagenes de contenedor?
Practica de analizar imagenes OCI/Docker en busca de vulnerabilidades conocidas, secretos, malware e infracciones de politica antes de desplegarlas en un runtime de contenedores.
¿Cómo funciona Escaneo de imagenes de contenedor?
El escaneo de imagenes inspecciona cada capa de una imagen OCI —sistema base, paquetes de lenguaje, binarios embebidos y metadatos— para identificar CVE conocidas, credenciales en claro, firmas de malware y configuraciones no conformes. Las herramientas se dividen en dos familias: escaneres de codigo abierto (Trivy de Aqua Security, Grype de Anchore, Clair y Docker Scout) y CNAPPs comerciales (Snyk Container, Prisma Cloud, Wiz, Sysdig Secure). Los escaneos suelen ejecutarse en tres puntos: la maquina del desarrollador, el pipeline CI (fallando las builds que violen politica) y la admision en el registro. Los programas modernos generan tambien SBOM firmados que alimentan sistemas de atestacion de cadena de suministro como Sigstore y SLSA.
¿Cómo defenderse de Escaneo de imagenes de contenedor?
Las defensas contra Escaneo de imagenes de contenedor combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Escaneo de imagenes de contenedor?
Nombres alternativos comunes: escaneo de imagenes, escaneo de vulnerabilidades de contenedor.
● Términos relacionados
- defense-ops№ 1175
Trivy
Escaner de codigo abierto y binario unico de Aqua Security que detecta CVE, malas configuraciones, secretos, SBOM y problemas de licencia en imagenes de contenedor, ficheros, repositorios Git y clusters Kubernetes.
- vulnerabilities№ 259
CVE (Common Vulnerabilities and Exposures)
Catálogo público que asigna un identificador único a cada vulnerabilidad divulgada para referenciarla de forma inequívoca en todo el sector.
- cloud-security№ 600
Seguridad de Kubernetes
Protección de un cluster de Kubernetes —su API server, plano de control, nodos, cargas y red— frente a configuraciones erróneas, compromisos y movimiento lateral.
- appsec№ 1033
Shift-Left Security
Práctica de adelantar las actividades de seguridad en el ciclo de vida del software para detectar y corregir vulnerabilidades antes de llegar a producción.
● Véase también
- № 403Falco