Skip to content
Latchkey

O Que É um Vulnerability Scan?

Um vulnerability scan compara seu software com bases de dados de falhas de segurança conhecidas (CVEs) e reporta quais delas afetam você.

Novas vulnerabilidades são divulgadas constantemente. Um vulnerability scan automatiza a checagem: ele inventaria o que você tem - dependências, pacotes de SO, camadas de container - e faz a correspondência com bases de dados de advisories, para que você encontre problemas conhecidos antes dos atacantes.

O que é escaneado

  • Dependências: suas bibliotecas (software composition analysis).
  • Imagens de container: pacotes de SO e camadas na imagem.
  • Infraestrutura e config: configurações incorretas e ajustes reconhecidamente ruins.

Um pequeno exemplo

Rodar trivy image myapp:latest na CI lista os pacotes de SO e as bibliotecas na imagem, faz a correspondência com feeds de CVE e imprime cada achado com uma severidade e uma versão corrigida - falhando o build se você faz gate em severidades altas.

Severidade e gating

Os achados vêm com uma severidade, frequentemente um score CVSS. Na CI você tipicamente faz gate por severidade - por exemplo, falhar o build em novos achados críticos ou altos, deixando passar os mais baixos com um aviso.

Gerenciando ruído

Scans produzem falsos positivos e vulnerabilidades inalcançáveis. Ajuste ignorando achados que não se aplicam, priorizando por severidade e explorabilidade e acompanhando deltas, para agir no que é novo em vez de reprocessar o backlog.

Escaneie, depois reescaneie

Um scan limpo hoje não é limpo para sempre - novos CVEs surgem contra artifacts inalterados. Agende reescaneamentos periódicos de imagens implantadas para que vulnerabilidades recém-divulgadas em software já entregue ainda sejam capturadas.

Principais conclusões

  • Um vulnerability scan compara seu software com bases de dados de CVEs conhecidos.
  • Ele cobre dependências, imagens de container e configuração.
  • A CI faz gate por severidade; refaça o scan de artifacts implantados conforme novos CVEs surgem.

Guias relacionados