Tu imagen de Docker probablemente es vulnerable (Trivy)

Españolالعربية Deutsch English Français हिन्दी Bahasa Indonesia 日本語 한국어 Português Русский 中文

Computing/SoftwareSmall Business/StartupsInternet Technology

Transcript

00:00:00El 87 % de las imágenes de Docker en Docker Hub contienen vulnerabilidades críticas o altas.

00:00:04Así que, estadísticamente, ¿esa imagen que estás a punto de desplegar?

00:00:08Sí, probablemente sea vulnerable en algún punto, de alguna forma.

00:00:11Y lo peor es que no te darás cuenta porque todo se sigue compilando,

00:00:14todo sigue funcionando. Hasta que deja de hacerlo.

00:00:16Este es Trivy, una herramienta de código abierto que halla el problema en segundos y sin instalación.

00:00:21Sacamos vídeos constantemente, así que asegúrate de suscribirte.

00:00:29Trivy ha explotado en GitHub con más de 32 000 estrellas y se usa cada vez más a diario.

00:00:34Y esperarías que una herramienta así solo escaneara contenedores, pero no, lo escanea todo.

00:00:40Contenedores, sistemas de archivos locales, repositorios Git, Kubernetes, errores de configuración, lo que sea.

00:00:45Incluso es el escáner predeterminado en GitLab.

00:00:48Esto es infraestructura.

00:00:50Y en los próximos 30 segundos más o menos, te voy a mostrar cómo ponerlo en práctica.

00:00:53Es lo suficientemente fácil como para que sea realmente útil.

00:00:56Muy bien, nada de instalaciones. Lo único que hice fue clonar su repositorio de Git,

00:01:00ya que tienen contenedores de prueba que podemos ejecutar para un uso rápido.

00:01:04Lo único que tienes que hacer además es abrir Docker.

00:01:07Ahora, en mi terminal de VS Code, podemos pegar esta línea que está en la documentación.

00:01:12Eso es todo.

00:01:14Docker ahora descarga Trivy, lo ejecuta, escanea la imagen oficial de Nginx y ¡listo!

00:01:21Las vulnerabilidades críticas aparecerán aquí mismo si es que las hay.

00:01:26Aquí es donde empieza a salvarte, porque si esto fuera una canalización real,

00:01:29no quieres un informe, quieres detener el programa en seco.

00:01:32Ahora, si encuentra una vulnerabilidad crítica, el código de salida será 1,

00:01:36tu flujo de trabajo fallará y la compilación quedará bloqueada.

00:01:39Así que esa idea de que las herramientas de seguridad te frenan, Trivy la cambia por completo.

00:01:45Esto te acelera porque evita tener que revertir cambios más tarde.

00:01:49Bien, pero escanear contenedores es la parte fácil.

00:01:51Los problemas reales suelen venir de lo que enviamos al repositorio.

00:01:54Los contenedores están bien, pero el código defectuoso es peor.

00:01:57Vamos a escanear un archivo Docker desastroso.

00:01:59De nuevo, esto está en el repositorio de Trivy.

00:02:01Vale, voy a entrar en la carpeta "trivy-demo".

00:02:03Aquí podéis ver que detecta prácticas inseguras y problemas como imágenes base poco fiables,

00:02:07falta de directivas de usuario, configuraciones privilegiadas, dependencias obsoletas... de todo.

00:02:12Lo va a detectar todo por nosotros.

00:02:14Esto es lo que quieres en la integración continua (CI): antes de la fusión, no tras el despliegue.

00:02:18Porque si se fusiona, se convierte en el problema de todos.

00:02:22Ahora corregimos el Dockerfile y lo ejecutamos de nuevo.

00:02:24Está todo limpio y listo para usar.

00:02:26Y si piensas: "Ya, pero mi repositorio es enorme", genial.

00:02:30Ahí es precisamente donde esto resulta más útil,

00:02:32porque hay otras herramientas de las que hablaré en un segundo.

00:02:35Ahora vamos a apuntar a un repositorio entero.

00:02:38Escaneo del sistema de archivos, dependencias, configuraciones erróneas, todo.

00:02:41Como estoy usando este repositorio, podemos ver si todo está relativamente bien.

00:02:45¿Dónde encaja esto en el día a día y qué hace la gente realmente con ello?

00:02:50Podrías pensar que es solo una herramienta de escaneo puntual, pero no.

00:02:54Trivy se integra en los lugares donde ya trabajas.

00:02:56En desarrollo local tienes la extensión de VS Code; en CI, tres líneas en GitHub Actions.

00:03:02Y si usas Kubernetes, el operador de Trivy escanea automáticamente cada carga de trabajo en tu clúster.

00:03:07Solo necesitas un comando en tu flujo de trabajo.

00:03:09Algunos informes muestran que los ataques a la cadena de suministro han subido más del 400 %.

00:03:12Los desarrolladores siempre han sido parte de la seguridad, así que esto ayuda.

00:03:17Las mejores herramientas de seguridad no te frenan, bloquean problemas y evitan trabajo extra a futuro.

00:03:22Trivy me ha parecido genial, pero ¿es realmente mejor que otras?

00:03:26Porque las hay.

00:03:26Seamos sinceros, existen otros escáneres.

00:03:29Puede que ya los estés utilizando.

00:03:31Tenemos a Grype, pero es solo para contenedores.

00:03:34Luego está Snyk, pero cuesta dinero.

00:03:37Ambas son razones por las que muchos se están pasando a Trivy.

00:03:41Es rápido y es gratis.

00:03:42Maneja contenedores, secretos, SBOMs, Kubernetes, sistemas de archivos y todo eso.

00:03:48Es como una herramienta todo en uno.

00:03:50Tanto si es nuevo para ti como si no, ¿qué opinas de Trivy?

00:03:53Nos vemos en el próximo vídeo.

Key Takeaway

Trivy se presenta como una solución integral y gratuita de seguridad que permite a los desarrolladores detectar y bloquear vulnerabilidades en toda su infraestructura antes del despliegue.

Highlights

El 87 % de las imágenes en Docker Hub poseen vulnerabilidades de nivel alto o crítico.

Trivy es una herramienta de código abierto versátil que escanea contenedores, repositorios Git y Kubernetes.

La integración en tuberías de CI/CD permite detener compilaciones inseguras mediante códigos de salida específicos.

Trivy detecta malas prácticas en Dockerfiles como falta de directivas de usuario o dependencias obsoletas.

A diferencia de competidores como Grype o Snyk, Trivy destaca por ser gratuito, rápido y multifuncional.

La herramienta se adapta al flujo de trabajo mediante extensiones de VS Code y operadores de Kubernetes.

Timeline

El problema de la inseguridad en Docker

El video comienza exponiendo una estadística alarmante sobre la inseguridad de las imágenes alojadas en Docker Hub. Se menciona que la gran mayoría de los despliegues actuales son probablemente vulnerables sin que el desarrollador lo note. El narrador introduce a Trivy como la solución de código abierto diseñada para hallar estos fallos en cuestión de segundos. Se subraya que el software sigue funcionando visualmente incluso cuando existen brechas críticas de seguridad. Este segmento establece la urgencia de adoptar herramientas de escaneo proactivas en el ciclo de vida del software.

Capacidades y versatilidad de Trivy

En esta sección se destaca el crecimiento exponencial de Trivy en plataformas como GitHub, superando las 32,000 estrellas. Se aclara que, aunque parece un escáner de contenedores, su alcance abarca sistemas de archivos, errores de configuración y clústeres de Kubernetes. El narrador enfatiza que es el escáner predeterminado en GitLab, lo que demuestra su madurez a nivel industrial. Se presenta a la herramienta no solo como un software de seguridad, sino como una pieza fundamental de la infraestructura moderna. La facilidad de uso se menciona como el factor clave para que sea realmente adoptada por los equipos.

Demostración práctica y flujo de CI/CD

El narrador demuestra cómo ejecutar Trivy mediante Docker sin necesidad de realizar una instalación local compleja. Se realiza un escaneo de la imagen oficial de Nginx para ilustrar cómo se presentan los resultados de vulnerabilidades críticas. Un punto vital es la explicación del código de salida 1, el cual permite detener automáticamente las tuberías de integración continua si se detectan riesgos. El autor argumenta que la seguridad no frena el desarrollo, sino que lo acelera al evitar costosas reversiones de código en el futuro. Se muestra que con una sola línea de comandos en VS Code se puede auditar la seguridad de forma inmediata.

Análisis de Dockerfiles y sistemas de archivos

El enfoque se desplaza desde las imágenes terminadas hacia el análisis del código fuente y los archivos de configuración desastrosos. Trivy es capaz de identificar prácticas inseguras como el uso de usuarios root, configuraciones privilegiadas o imágenes base no confiables. Se hace hincapié en que estos errores deben corregirse en la fase de CI, antes de que el código sea fusionado en la rama principal. El video muestra cómo, tras corregir un Dockerfile, la herramienta confirma que el entorno está limpio y listo. Además, se menciona la capacidad de escanear repositorios enteros para buscar secretos expuestos y dependencias obsoletas.

Integración diaria y comparativa con la competencia

La sección final explora cómo Trivy se integra en el día a día del desarrollador mediante extensiones de VS Code y GitHub Actions. Se menciona el operador de Kubernetes que escanea automáticamente las cargas de trabajo para protegerse contra ataques a la cadena de suministro. El narrador compara a Trivy con otras opciones del mercado como Grype, que es más limitado, y Snyk, que conlleva costes económicos. Se concluye que Trivy es la opción preferida por muchos debido a su naturaleza gratuita, rapidez y capacidad de generar informes SBOM. El video cierra invitando a los usuarios a compartir sus opiniones sobre esta herramienta de seguridad integral.

Community Posts

No posts yet. Be the first to write about this video!

Write about this video