00:00:0087% das imagens no Docker Hub contêm vulnerabilidades críticas ou altas.
00:00:04Então, estatisticamente, a imagem que você está prestes a implantar?
00:00:08É, ela provavelmente está vulnerável em algum lugar, de alguma forma.
00:00:11E a parte assustadora é que você não vai notar, porque tudo continua buildando,
00:00:14tudo continua rodando. Até que para de funcionar.
00:00:16Este é o Trivy, uma ferramenta de código aberto que encontra o problema em segundos, sem instalação.
00:00:21Lançamos vídeos o tempo todo, então não se esqueça de se inscrever.
00:00:29O Trivy estourou no GitHub com mais de 32.000 estrelas e é cada vez mais usado a cada dia.
00:00:34E você esperaria que uma ferramenta assim escaneasse apenas containers, mas não, ela escaneia tudo.
00:00:40Containers, sistemas de arquivos locais, repositórios Git, Kubernetes, erros de configuração, o que você imaginar.
00:00:45E ele é até o scanner padrão no GitLab.
00:00:48Isso aqui é infraestrutura.
00:00:50E nos próximos 30 segundos ou algo assim, vou mostrar como colocar isso em prática.
00:00:53É fácil o suficiente para ser realmente usável também.
00:00:56Certo, nada de instalação aqui. A única coisa que fiz foi clonar o repositório Git deles,
00:01:00como eles têm containers de teste, podemos rodar isso para um uso rápido.
00:01:04A única outra coisa que você precisa fazer é abrir o Docker.
00:01:07Agora, no meu terminal aqui no VS Code, podemos apenas colar esta linha, que está na documentação.
00:01:12É só isso.
00:01:14O Docker agora baixa o Trivy, executa, escaneia a imagem oficial do Nginx, e pronto.
00:01:21Vulnerabilidades críticas aparecerão bem aqui, caso existam.
00:01:26Aqui é onde ele começa a te salvar, porque se este for um pipeline real,
00:01:29você não quer apenas um relatório, você quer uma parada total no programa.
00:01:32Agora, se ele encontrar uma vulnerabilidade crítica, o código de saída será um,
00:01:36seu pipeline vai falhar e o build será bloqueado.
00:01:39Sabe aquela ideia de que ferramentas de segurança só te atrasam? O Trivy muda isso.
00:01:45Ele te agiliza porque evita a necessidade de um rollback mais tarde.
00:01:49Legal, mas escanear containers é a parte fácil.
00:01:51Os problemas reais geralmente vêm do que nós commitamos.
00:01:54Sim, containers são legais, mas código ruim é pior.
00:01:57Vamos escanear um Dockerfile desastroso aqui.
00:01:59Novamente, isso está logo no repositório do Trivy.
00:02:01Ok, vou entrar na pasta "Trivy demo".
00:02:03Agora você pode ver que ele detecta práticas inseguras e problemas como imagens de base vulneráveis,
00:02:07falta de diretivas de usuário, configurações privilegiadas, dependências desatualizadas, enfim.
00:02:12Ele vai identificar tudo isso para nós.
00:02:14Isso é o que você quer no CI: não após o deploy, mas antes do merge.
00:02:18Porque, se for mesclado, o problema passa a ser de todo mundo.
00:02:22Agora, corrija o Dockerfile e rode novamente.
00:02:24Está tudo limpo e pronto para seguir.
00:02:26E se você estiver pensando: "meu repositório é enorme", ótimo.
00:02:30É exatamente onde isso é mais útil, na verdade,
00:02:32porque existem outras ferramentas por aí que vou mencionar em um segundo.
00:02:35Agora, vamos apontá-lo para um repositório inteiro.
00:02:38Escaneamento de sistema de arquivos, dependências, erros de configuração, tudo.
00:02:41Como estou usando este repositório, podemos ver se tudo está relativamente em ordem.
00:02:45Então, onde isso vive no dia a dia e o que as pessoas estão realmente fazendo com isso?
00:02:50Você pode achar que é só uma ferramenta de scan único, mas não é.
00:02:54O Trivy se encaixa nos lugares onde você já trabalha.
00:02:56No desenvolvimento local, há a extensão do VS Code; no CI, três linhas no GitHub Actions.
00:03:02E se você usa Kubernetes, o operador do Trivy escaneia automaticamente cada carga de trabalho no seu cluster.
00:03:07Você só precisa de um comando no seu pipeline.
00:03:09Alguns relatórios mostram que ataques na cadeia de suprimentos subiram mais de 400%.
00:03:12Os devs sempre fizeram parte do lado da segurança, então isso ajuda bastante.
00:03:17As melhores ferramentas de segurança não te atrasam; elas bloqueiam problemas e evitam trabalho futuro.
00:03:22Achei o Trivy bem legal, mas será que ele é realmente melhor que os outros?
00:03:26Porque existem alguns.
00:03:26Sejamos honestos, há outros scanners por aí.
00:03:29Talvez você já até use alguns deles.
00:03:31Temos o Grype, mas ele é apenas para containers.
00:03:34Depois tem o Snyk, mas ele custa dinheiro.
00:03:37Esses dois motivos fazem com que muitos estejam mudando para o Trivy.
00:03:41Ele é rápido e gratuito.
00:03:42Ele lida com containers, segredos, SBOMs, Kubernetes, sistemas de arquivos e tudo mais.
00:03:48É meio que uma ferramenta completa, tudo-em-um.
00:03:50Então, se isso é novo para você, ou se não for, o que você acha do Trivy?
00:03:53Nos vemos em outro vídeo.