Skip to content
Latchkey

O Que É Container Scanning? Encontrando Vulnerabilidades em Imagens

O container scanning analisa as camadas e pacotes de uma imagem em busca de vulnerabilidades conhecidas, segredos expostos e configurações incorretas arriscadas antes de você lançá-la.

Uma imagem de container agrupa um SO, bibliotecas e sua aplicação, e qualquer um deles pode carregar vulnerabilidades conhecidas. O container scanning desmonta uma imagem, inventaria o que há dentro e verifica cada componente contra bancos de dados de vulnerabilidades. Ele transforma "achamos que esta imagem está boa" em uma lista concreta de problemas que você pode corrigir ou aceitar.

O que um scanner verifica

  • Pacotes de SO e de linguagem contra CVEs conhecidos.
  • Imagens base desatualizadas com advisories publicados.
  • Segredos acidentalmente embutidos em camadas.
  • Configurações incorretas como rodar como root ou portas abertas.

Como funciona

O scanner constrói um inventário de componentes a partir da imagem (efetivamente um SBOM), depois faz a correspondência de cada componente e versão contra bancos de dados de vulnerabilidades. A saída é uma lista de findings, geralmente classificados por severidade usando CVSS scores.

Ferramentas comuns

Trivy, Grype, Docker Scout e Snyk são amplamente usados. Eles se integram ao CI para que uma imagem seja escaneada logo após ser construída e antes de ser enviada ou implantada.

Scanning como gate

As equipes conectam o scanning ao pipeline como um gate: falhe o build se uma vulnerabilidade crítica e corrigível estiver presente. O ajuste importa, porque nem todo finding é explorável, e um gate que bloqueia por ruído acaba ignorado.

Escaneie cedo, escaneie de novo

Escaneie no momento do build para pegar problemas antes do lançamento, e re-escaneie imagens publicadas periodicamente, porque novos CVEs são divulgados contra imagens que estavam limpas ontem. A imagem base que você aprovou mês passado pode estar vulnerável hoje.

Principais conclusões

  • O container scanning verifica os componentes de uma imagem contra bancos de dados de vulnerabilidades.
  • Trivy, Grype e Docker Scout integram-se ao CI para escanear no momento do build.
  • Use-o como um gate ajustado e re-escaneie imagens publicadas conforme novos CVEs surgem.

Guias relacionados