En resumen: Aikido ahora es compatible con las imágenes reforzadas de Docker. Un análisis que antes arrojaba cientos de CVE se reduce a las pocas que realmente son aplicables, ya que las certificaciones VEX de Docker descartan todo lo que han verificado como no explotable. Sin necesidad de configuración adicional.
seguridad de contenedores un problema de ruido
Escaneas una imagen de contenedor y obtienes una lista de 50, 100 o, a veces, cientos de CVE. Abres algunos. Algunos parecen preocupantes. La mayoría son irrelevantes. Algunos ya han sido corregidos por el responsable del mantenimiento de la imagen. Otros se encuentran en partes de la imagen a las que nunca se puede acceder realmente en tu entorno. Pero tu herramienta no sabe nada de eso. Simplemente lo marca todo y te pasa el problema a ti.
Así que te pasas la tarde haciendo una selección de prioridades en lugar de lanzar el producto. Intentas averiguar qué alertas son realmente importantes. Cierras las que parecen de bajo riesgo. Pones en espera las que vas a tratar «más tarde». Y luego, la semana siguiente, vuelve a pasar lo mismo.
Esto no es un problema de seguridad. Es un problema de relación señal-ruido. Y es una de las principales razones por las que los desarrolladores dejan de confiar por completo en sus herramientas de seguridad. Cuando todo se marca como alerta, nada parece urgente. Esa es una situación peligrosa.
¿Qué son las imágenes reforzadas de Docker?
Las imágenes reforzadas de Docker están diseñadas específicamente para un fin concreto, a menudo no incluyen una distribución Linux y solo contienen el software necesario para la carga de trabajo. Su superficie de ataque es menor por su propia naturaleza y, en muchos casos, los parches se aplican más rápido que en el código original. Además, incluyen algo de lo que carecen la mayoría de las imágenes base: certificaciones VEX.
VEX son las siglas de «Vulnerability Exploitability eXchange». Se trata de un método estándar que permite a los responsables del mantenimiento de las imágenes comunicar qué CVE no son realmente explotables en una imagen concreta y por qué. Quizás el componente vulnerable no esté presente en esta versión. Quizás la ruta de código que lo haría peligroso no exista en este contexto. Docker realiza el análisis y publica el resultado para cada imagen reforzada que mantiene.
Analizan la imagen, detectan el CVE en un paquete y lo marcan como tal sin más. Así que adoptas una imagen más segura, realizas tu primer análisis y tu feed se tiñe de rojo. Hay más alertas que antes. Parece que has empeorado las cosas, aunque en realidad ocurre justo lo contrario.
Cómo se aborda esto en el aikido
Cuando Aikido detecta una imagen Docker Hardened en tu registro, descarga la SBOM firmada SBOM junto con la imagen para obtener una visión precisa de su contenido real y, a continuación, la compara con las certificaciones VEX de Docker para determinar qué elementos son realmente vulnerables. Cualquier vulnerabilidad que Docker haya marcado como corregida, no afectada o que, por cualquier otro motivo, no requiera evaluación, se elimina antes de que llegue a tu feed.
.png)
Las vulnerabilidades ocultadas no desaparecen sin más. Aparecen en la pestaña «Ignoradas», para que siempre tengas una visión completa de lo que se ha detectado y de lo que se ha filtrado.
Haz clic en cualquiera de ellos y Aikido te mostrará el razonamiento completo y la verificación realizada por el propio Docker, directamente en esa pestaña.
%20(1).png)
.png)
Para los equipos de seguridad y cumplimiento normativo, esto significa que disponen de una justificación documentada y verificable cuando un auditor les pregunte por qué no se ha solucionado una vulnerabilidad CVE.
Sin configuración. En serio.
No hay que configurar nada más. Conecta tu registro de Docker Hub, escanea una imagen reforzada y Aikido se encarga del resto automáticamente en segundo plano. Si ya estás conectado a Docker Hub en Aikido, ya está funcionando.
Si aún no te has conectado, solo te llevará unos dos minutos. Ve a Ajustes > Contenedores, haz clic en «Conectar registro», selecciona Docker Hub, introduce tu espacio de nombres y un token de acceso de solo lectura. Y ya está. Aikido detectará tus repositorios y cualquier imagen Docker Hardened que estés ejecutando recibirá automáticamente el tratamiento completo de VEX en cada análisis.
Seguridad pensada para los desarrolladores
La fatiga por alertas es una realidad. Cuando tu herramienta de seguridad da la voz de alarma en cada análisis, dejas de prestarle atención. Y cuando dejas de prestarle atención, se te pasan por alto los problemas reales.
Conecta tu registro de Docker Hub y descubre cómo se ve tu feed cuando solo te muestra lo que realmente importa.
Empieza a utilizar las imágenes reforzadas de Docker aquí → https://integrations.aikido.dev/integrations/docker-hub
Acompáñanos en directo el 25 de junio para ver en acción la integración de Aikido y Docker.
