O Que É Container Scanning? Encontrando Vulnerabilidades em Imagens
O container scanning analisa as camadas e pacotes de uma imagem em busca de vulnerabilidades conhecidas, segredos expostos e configurações incorretas arriscadas antes de você lançá-la.
Uma imagem de container agrupa um SO, bibliotecas e sua aplicação, e qualquer um deles pode carregar vulnerabilidades conhecidas. O container scanning desmonta uma imagem, inventaria o que há dentro e verifica cada componente contra bancos de dados de vulnerabilidades. Ele transforma "achamos que esta imagem está boa" em uma lista concreta de problemas que você pode corrigir ou aceitar.
O que um scanner verifica
- Pacotes de SO e de linguagem contra CVEs conhecidos.
- Imagens base desatualizadas com advisories publicados.
- Segredos acidentalmente embutidos em camadas.
- Configurações incorretas como rodar como root ou portas abertas.
Como funciona
O scanner constrói um inventário de componentes a partir da imagem (efetivamente um SBOM), depois faz a correspondência de cada componente e versão contra bancos de dados de vulnerabilidades. A saída é uma lista de findings, geralmente classificados por severidade usando CVSS scores.
Ferramentas comuns
Trivy, Grype, Docker Scout e Snyk são amplamente usados. Eles se integram ao CI para que uma imagem seja escaneada logo após ser construída e antes de ser enviada ou implantada.
Scanning como gate
As equipes conectam o scanning ao pipeline como um gate: falhe o build se uma vulnerabilidade crítica e corrigível estiver presente. O ajuste importa, porque nem todo finding é explorável, e um gate que bloqueia por ruído acaba ignorado.
Escaneie cedo, escaneie de novo
Escaneie no momento do build para pegar problemas antes do lançamento, e re-escaneie imagens publicadas periodicamente, porque novos CVEs são divulgados contra imagens que estavam limpas ontem. A imagem base que você aprovou mês passado pode estar vulnerável hoje.
Principais conclusões
- O container scanning verifica os componentes de uma imagem contra bancos de dados de vulnerabilidades.
- Trivy, Grype e Docker Scout integram-se ao CI para escanear no momento do build.
- Use-o como um gate ajustado e re-escaneie imagens publicadas conforme novos CVEs surgem.