00:00:00El 87 % de las imágenes de Docker en Docker Hub contienen vulnerabilidades críticas o altas.
00:00:04Así que, estadísticamente, ¿esa imagen que estás a punto de desplegar?
00:00:08Sí, probablemente sea vulnerable en algún punto, de alguna forma.
00:00:11Y lo peor es que no te darás cuenta porque todo se sigue compilando,
00:00:14todo sigue funcionando. Hasta que deja de hacerlo.
00:00:16Este es Trivy, una herramienta de código abierto que halla el problema en segundos y sin instalación.
00:00:21Sacamos vídeos constantemente, así que asegúrate de suscribirte.
00:00:29Trivy ha explotado en GitHub con más de 32 000 estrellas y se usa cada vez más a diario.
00:00:34Y esperarías que una herramienta así solo escaneara contenedores, pero no, lo escanea todo.
00:00:40Contenedores, sistemas de archivos locales, repositorios Git, Kubernetes, errores de configuración, lo que sea.
00:00:45Incluso es el escáner predeterminado en GitLab.
00:00:48Esto es infraestructura.
00:00:50Y en los próximos 30 segundos más o menos, te voy a mostrar cómo ponerlo en práctica.
00:00:53Es lo suficientemente fácil como para que sea realmente útil.
00:00:56Muy bien, nada de instalaciones. Lo único que hice fue clonar su repositorio de Git,
00:01:00ya que tienen contenedores de prueba que podemos ejecutar para un uso rápido.
00:01:04Lo único que tienes que hacer además es abrir Docker.
00:01:07Ahora, en mi terminal de VS Code, podemos pegar esta línea que está en la documentación.
00:01:12Eso es todo.
00:01:14Docker ahora descarga Trivy, lo ejecuta, escanea la imagen oficial de Nginx y ¡listo!
00:01:21Las vulnerabilidades críticas aparecerán aquí mismo si es que las hay.
00:01:26Aquí es donde empieza a salvarte, porque si esto fuera una canalización real,
00:01:29no quieres un informe, quieres detener el programa en seco.
00:01:32Ahora, si encuentra una vulnerabilidad crítica, el código de salida será 1,
00:01:36tu flujo de trabajo fallará y la compilación quedará bloqueada.
00:01:39Así que esa idea de que las herramientas de seguridad te frenan, Trivy la cambia por completo.
00:01:45Esto te acelera porque evita tener que revertir cambios más tarde.
00:01:49Bien, pero escanear contenedores es la parte fácil.
00:01:51Los problemas reales suelen venir de lo que enviamos al repositorio.
00:01:54Los contenedores están bien, pero el código defectuoso es peor.
00:01:57Vamos a escanear un archivo Docker desastroso.
00:01:59De nuevo, esto está en el repositorio de Trivy.
00:02:01Vale, voy a entrar en la carpeta "trivy-demo".
00:02:03Aquí podéis ver que detecta prácticas inseguras y problemas como imágenes base poco fiables,
00:02:07falta de directivas de usuario, configuraciones privilegiadas, dependencias obsoletas... de todo.
00:02:12Lo va a detectar todo por nosotros.
00:02:14Esto es lo que quieres en la integración continua (CI): antes de la fusión, no tras el despliegue.
00:02:18Porque si se fusiona, se convierte en el problema de todos.
00:02:22Ahora corregimos el Dockerfile y lo ejecutamos de nuevo.
00:02:24Está todo limpio y listo para usar.
00:02:26Y si piensas: "Ya, pero mi repositorio es enorme", genial.
00:02:30Ahí es precisamente donde esto resulta más útil,
00:02:32porque hay otras herramientas de las que hablaré en un segundo.
00:02:35Ahora vamos a apuntar a un repositorio entero.
00:02:38Escaneo del sistema de archivos, dependencias, configuraciones erróneas, todo.
00:02:41Como estoy usando este repositorio, podemos ver si todo está relativamente bien.
00:02:45¿Dónde encaja esto en el día a día y qué hace la gente realmente con ello?
00:02:50Podrías pensar que es solo una herramienta de escaneo puntual, pero no.
00:02:54Trivy se integra en los lugares donde ya trabajas.
00:02:56En desarrollo local tienes la extensión de VS Code; en CI, tres líneas en GitHub Actions.
00:03:02Y si usas Kubernetes, el operador de Trivy escanea automáticamente cada carga de trabajo en tu clúster.
00:03:07Solo necesitas un comando en tu flujo de trabajo.
00:03:09Algunos informes muestran que los ataques a la cadena de suministro han subido más del 400 %.
00:03:12Los desarrolladores siempre han sido parte de la seguridad, así que esto ayuda.
00:03:17Las mejores herramientas de seguridad no te frenan, bloquean problemas y evitan trabajo extra a futuro.
00:03:22Trivy me ha parecido genial, pero ¿es realmente mejor que otras?
00:03:26Porque las hay.
00:03:26Seamos sinceros, existen otros escáneres.
00:03:29Puede que ya los estés utilizando.
00:03:31Tenemos a Grype, pero es solo para contenedores.
00:03:34Luego está Snyk, pero cuesta dinero.
00:03:37Ambas son razones por las que muchos se están pasando a Trivy.
00:03:41Es rápido y es gratis.
00:03:42Maneja contenedores, secretos, SBOMs, Kubernetes, sistemas de archivos y todo eso.
00:03:48Es como una herramienta todo en uno.
00:03:50Tanto si es nuevo para ti como si no, ¿qué opinas de Trivy?
00:03:53Nos vemos en el próximo vídeo.