O Que É um Vulnerability Scan?
Um vulnerability scan compara seu software com bases de dados de falhas de segurança conhecidas (CVEs) e reporta quais delas afetam você.
Novas vulnerabilidades são divulgadas constantemente. Um vulnerability scan automatiza a checagem: ele inventaria o que você tem - dependências, pacotes de SO, camadas de container - e faz a correspondência com bases de dados de advisories, para que você encontre problemas conhecidos antes dos atacantes.
O que é escaneado
- Dependências: suas bibliotecas (software composition analysis).
- Imagens de container: pacotes de SO e camadas na imagem.
- Infraestrutura e config: configurações incorretas e ajustes reconhecidamente ruins.
Um pequeno exemplo
Rodar trivy image myapp:latest na CI lista os pacotes de SO e as bibliotecas na imagem, faz a correspondência com feeds de CVE e imprime cada achado com uma severidade e uma versão corrigida - falhando o build se você faz gate em severidades altas.
Severidade e gating
Os achados vêm com uma severidade, frequentemente um score CVSS. Na CI você tipicamente faz gate por severidade - por exemplo, falhar o build em novos achados críticos ou altos, deixando passar os mais baixos com um aviso.
Gerenciando ruído
Scans produzem falsos positivos e vulnerabilidades inalcançáveis. Ajuste ignorando achados que não se aplicam, priorizando por severidade e explorabilidade e acompanhando deltas, para agir no que é novo em vez de reprocessar o backlog.
Escaneie, depois reescaneie
Um scan limpo hoje não é limpo para sempre - novos CVEs surgem contra artifacts inalterados. Agende reescaneamentos periódicos de imagens implantadas para que vulnerabilidades recém-divulgadas em software já entregue ainda sejam capturadas.
Principais conclusões
- Um vulnerability scan compara seu software com bases de dados de CVEs conhecidos.
- Ele cobre dependências, imagens de container e configuração.
- A CI faz gate por severidade; refaça o scan de artifacts implantados conforme novos CVEs surgem.