Analise de imagens de contentor
O que é Analise de imagens de contentor?
Analise de imagens de contentorPratica de analisar imagens OCI/Docker em busca de vulnerabilidades conhecidas, segredos, malware e violacoes de politica antes de serem implantadas num runtime de contentores.
A analise de imagens de contentor inspeciona cada camada de uma imagem OCI — SO base, pacotes de linguagem, binarios embutidos e metadados — para identificar CVEs conhecidas, credenciais em claro, assinaturas de malware e configuracoes nao conformes. As ferramentas dividem-se em duas familias: scanners open source (Trivy da Aqua Security, Grype da Anchore, Clair e Docker Scout) e CNAPPs comerciais (Snyk Container, Prisma Cloud, Wiz, Sysdig Secure). Os scans correm geralmente em tres pontos: posto do desenvolvedor, pipeline CI (com falha em violacao) e admissao no registry. Os programas modernos geram tambem SBOMs assinados que alimentam sistemas de atestacao de cadeia de fornecimento como Sigstore e SLSA.
● Exemplos
- 01
Falhar um job do GitHub Actions quando a imagem base contem uma vulnerabilidade CVSS 9.8 no openssl.
- 02
Bloquear o deployment de uma imagem com um .npmrc divulgado e um token de publicacao npm.
● Perguntas frequentes
O que é Analise de imagens de contentor?
Pratica de analisar imagens OCI/Docker em busca de vulnerabilidades conhecidas, segredos, malware e violacoes de politica antes de serem implantadas num runtime de contentores. Pertence à categoria Defesa e operações da cibersegurança.
O que significa Analise de imagens de contentor?
Pratica de analisar imagens OCI/Docker em busca de vulnerabilidades conhecidas, segredos, malware e violacoes de politica antes de serem implantadas num runtime de contentores.
Como funciona Analise de imagens de contentor?
A analise de imagens de contentor inspeciona cada camada de uma imagem OCI — SO base, pacotes de linguagem, binarios embutidos e metadados — para identificar CVEs conhecidas, credenciais em claro, assinaturas de malware e configuracoes nao conformes. As ferramentas dividem-se em duas familias: scanners open source (Trivy da Aqua Security, Grype da Anchore, Clair e Docker Scout) e CNAPPs comerciais (Snyk Container, Prisma Cloud, Wiz, Sysdig Secure). Os scans correm geralmente em tres pontos: posto do desenvolvedor, pipeline CI (com falha em violacao) e admissao no registry. Os programas modernos geram tambem SBOMs assinados que alimentam sistemas de atestacao de cadeia de fornecimento como Sigstore e SLSA.
Como se defender contra Analise de imagens de contentor?
As defesas contra Analise de imagens de contentor costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Analise de imagens de contentor?
Nomes alternativos comuns: analise de imagens, scan de vulnerabilidades de contentor.
● Termos relacionados
- defense-ops№ 1175
Trivy
Scanner open source de binario unico da Aqua Security que encontra CVEs, ma configuracao, segredos, SBOM e problemas de licenca em imagens de contentor, sistemas de ficheiros, repositorios Git e clusters Kubernetes.
- vulnerabilities№ 259
CVE (Common Vulnerabilities and Exposures)
Catálogo público que atribui um identificador único a cada vulnerabilidade divulgada para que possa ser referenciada de forma inequívoca em toda a indústria.
- cloud-security№ 600
Segurança do Kubernetes
Proteção de um cluster Kubernetes — API server, plano de controlo, nós, workloads e rede — contra configurações incorretas, comprometimento e movimentação lateral.
- appsec№ 1033
Shift-Left Security
Prática de antecipar as atividades de segurança no ciclo de vida do software para encontrar e corrigir vulnerabilidades antes que o código chegue à produção.
● Veja também
- № 403Falco