03 Análisis estáticos de contenedores

Análisis estáticos de contenedores

El material de este ejercicio se realiza en la carpeta 3

Es el proceso de examinar el contenido de una imagen de contenedor sin ejecutar el contenedor.

Riesgos de seguridad: identifique los posibles riesgos de seguridad en una imagen de contenedor como vulnerabilidades o configuraciones inseguras.

Importante: Nunca implemente en el entorno de producción una imagen con riesgos de seguridad críticos

Trivy

Aqua Trivy es un popular escáner de vulnerabilidades que ayuda a los equipos de DevOps a encontrar vulnerabilidades en contenedores de imágenes antes de implementarlos en producción.

Disponible en la carpeta 3/trivy, procederemos a probar a analizar las vulnerabilidades de un contenedor sin ejecutarlo, para ello tenemos dos ejemplos:

Y un segundo caso con un contenedor bajado de internet:

¿Que nos indican los resultados de trivy?¿Porque los hemos ejecutado de está manera?

Syft

anchore/syft

https://github.com/anchore/syft

Una herramienta CLI y una biblioteca Go para generar una lista de materiales de software (SBOM) a partir de imágenes de contenedores y sistemas de archivos. Excepcional para la detección de vulnerabilidades cuando se usa con un escáner como Grype. Los scripts se presentan en la carpeta 3/syft

Y un caso con un contenedor descargado

¿Se puede ver el SBOM?¿Que otras opciones nos ofrece Syft?

Grype

anchore/grype

https://github.com/anchore/grype

Un escáner de vulnerabilidades para imágenes de contenedores y sistemas de archivos

Y un caso con un contenedor descargado

¿Podemos compararlo con trivy?

Vuls

future-architect/vuls

https://github.com/future-architect/vuls

Escáner de vulnerabilidades sin agente para Linux, FreeBSD, Container, WordPress, bibliotecas de lenguajes de programación, dispositivos de red

Hay que lanzar el script en 3/vuls

¿Puede ser interesante un modelo de este tipo de software o es excesivamente complejo?