Compartir comentarios
Las respuestas se generan en base a la documentación.

Integraciones de escáneres

Tabla de contenidos

Las Docker Hardened Images funcionan con diversos escáneres de vulnerabilidades. Sin embargo, para obtener resultados precisos que reflejen la postura de seguridad real de estas imágenes, tu escáner debe comprender las atestaciones VEX (Vulnerability Exploitability eXchange) incluidas con cada imagen.

Escáneres compatibles con VEX

Los siguientes escáneres pueden leer y aplicar las atestaciones VEX incluidas con las Docker Hardened Images para ofrecer evaluaciones de vulnerabilidades más precisas:

  • Docker Scout: Aplica automáticamente las declaraciones VEX con cero configuración. Integrado directamente en Docker Desktop y la CLI de Docker.
  • Trivy: Admite VEX a través de VEX Hub para actualizaciones automáticas o archivos VEX locales para entornos aislados (air-gapped).
  • Grype: Admite VEX a través de la opción --vex para el procesamiento local de archivos VEX.
  • Wiz: Aplica automáticamente las declaraciones VEX con cero configuración.
  • Mend.io: Recupera y aplica automáticamente las declaraciones VEX con cero configuración. Combina los datos VEX con el análisis de alcanzabilidad.

Para obtener instrucciones paso a paso, consulta Escanear Docker Hardened Images.

Elegir un escáner para las Docker Hardened Images

Al seleccionar un escáner para utilizarlo con las Docker Hardened Images, el factor clave de diferenciación es si admite estándares abiertos como OpenVEX.

Las Docker Hardened Images incluyen atestaciones VEX firmadas que siguen el estándar OpenVEX. OpenVEX es un estándar abierto que cumple con los requisitos mínimos para VEX definidos por la CISA (Cybersecurity and Infrastructure Security Agency), la agencia del gobierno de los EE. UU. responsable de las directrices de ciberseguridad. Estas atestaciones documentan qué vulnerabilidades no se aplican a la imagen y por qué, lo que te ayuda a concentrarte en los riesgos reales. Para comprender qué es VEX y cómo funciona, consulta el concepto clave de VEX.

Debido a que OpenVEX es un estándar abierto respaldado por el gobierno, cuenta con un fuerte impulso en la industria y cualquier herramienta puede implementarlo sin necesidad de integraciones específicas del proveedor. Esto es de especial relevancia cuando cuentas con auditores externos que utilizan sus propias herramientas de escaneo, o cuando deseas utilizar múltiples herramientas de seguridad en tu pipeline. Con VEX, todas estas herramientas pueden leer y verificar los mismos datos de vulnerabilidades directamente desde tus imágenes.

Sin estándares abiertos como VEX, los proveedores toman decisiones sobre la explotabilidad utilizando métodos propietarios, lo que dificulta verificar las afirmaciones o comparar los resultados entre herramientas. Esto fragmenta tu conjunto de herramientas de seguridad y genera evaluaciones de vulnerabilidades inconsistentes entre diferentes herramientas de escaneo.

Beneficios de los escáneres compatibles con VEX

Los escáneres que admiten estándares abiertos como OpenVEX y pueden interpretar las atestaciones VEX de las Docker Hardened Images ofrecen los siguientes beneficios:

  • Recuento preciso de vulnerabilidades: Filtran automáticamente las vulnerabilidades que no se aplican a tu imagen específica, lo que a menudo reduce drásticamente los falsos positivos.
  • Transparencia y auditabilidad: Permiten verificar exactamente por qué se marcan o no las vulnerabilidades; los equipos de seguridad y los oficiales de cumplimiento pueden revisar los argumentos en lugar de confiar en la caja negra del proveedor.
  • Flexibilidad de escáneres: Puedes alternar entre cualquier escáner compatible con VEX (Docker Scout, Trivy, Grype, Wiz, Mend.io, etc.) sin perder el contexto de la vulnerabilidad ni tener que reconstruir las listas de exclusión.
  • Resultados consistentes: Los escáneres compatibles con VEX interpretan los mismos datos de la misma manera, eliminando las discrepancias entre herramientas.
  • Flujos de trabajo más rápidos: Permiten concentrarse en los riesgos reales en lugar de investigar por qué las CVE reportadas no afectan realmente a tu despliegue.

Escáneres sin soporte para VEX

Los escáneres que no pueden leer las atestaciones VEX reportarán vulnerabilidades que no se aplican a las Docker Hardened Images. Esto genera retos operativos:

  • Se requiere filtrado manual: Deberás mantener listas de exclusión específicas para cada escáner con el fin de replicar lo que ya documentan las declaraciones VEX.
  • Mayores tasas de falsos positivos: Es de esperar que veas más vulnerabilidades reportadas que no representan riesgos reales.
  • Mayor tiempo de investigación: Los equipos de seguridad dedican tiempo a investigar por qué las CVE no se aplican en lugar de abordar las vulnerabilidades reales. Con las Docker Hardened Images, los expertos en seguridad de Docker gestionan esta investigación por ti, evaluando a fondo cada justificación antes de agregarla a una declaración VEX.
  • Fricción en CI/CD: Los pipelines de construcción pueden fallar debido a vulnerabilidades que no son explotables en tus imágenes.

Gestión de vulnerabilidades basada en VEX frente a enfoques propietarios

Las Docker Hardened Images utilizan atestaciones VEX basadas en el estándar abierto OpenVEX para documentar la explotabilidad de las vulnerabilidades. OpenVEX es un estándar abierto reconocido por agencias gubernamentales como la CISA. Este enfoque basado en estándares abiertos difiere de la forma en que otros proveedores de imágenes gestionan las vulnerabilidades mediante métodos propietarios.

Docker Hardened Images con VEX

La imagen incluye atestaciones firmadas que explican qué vulnerabilidades no se aplican y por qué. Cualquier escáner compatible con VEX puede leer estas atestaciones, lo que te proporciona:

  • Flexibilidad de herramientas: Puedes usar cualquier escáner compatible con OpenVEX (Docker Scout, Trivy, Grype, Wiz, Mend.io, etc.).
  • Transparencia total: Puedes revisar los argumentos exactos de cada evaluación de vulnerabilidad.
  • Auditabilidad total: Los equipos de seguridad y oficiales de cumplimiento pueden verificar de forma independiente todas las evaluaciones de vulnerabilidades y sus argumentos.
  • Visibilidad histórica: Las declaraciones VEX permanecen con la imagen, por lo que siempre puedes verificar el estado de las vulnerabilidades, incluso para versiones anteriores.

Gestión de vulnerabilidades propietaria

Algunos proveedores de imágenes utilizan canales de avisos propietarios o bases de datos internas en lugar de VEX. Aunque esto puede dar como resultado un menor número de vulnerabilidades reportadas, genera limitaciones significativas:

  • Dependencia de herramientas: Debes utilizar las herramientas de escaneo preferidas del proveedor para ver su filtrado de vulnerabilidades, mientras que los escáneres estándar seguirán reportando todas las CVE; los escáneres deben implementar canales propietarios en lugar de utilizar estándares abiertos que funcionen con todas las imágenes.
  • Sin transparencia: Los canales propietarios actúan como "cajas negras"; las vulnerabilidades simplemente desaparecen de las herramientas del proveedor sin ninguna explicación.
  • Verificabilidad limitada: Los equipos de seguridad no tienen forma de verificar de manera independiente por qué se excluyen las vulnerabilidades o si el razonamiento es sólido.
  • Retos de mantenimiento: Si escaneas versiones de imágenes más antiguas con herramientas estándar, no puedes determinar qué vulnerabilidades se aplicaban realmente en ese momento, lo que dificulta el seguimiento de la seguridad a largo plazo.
  • Incompatibilidad con el ecosistema: Tus herramientas de seguridad existentes (SCA, motores de políticas, escáneres de cumplimiento) no pueden acceder ni verificar los datos de vulnerabilidades propietarios del proveedor.

La diferencia fundamental: Los enfoques basados en VEX explican las evaluaciones de vulnerabilidades utilizando estándares abiertos que cualquier herramienta puede verificar y auditar. Los enfoques propietarios ocultan las vulnerabilidades en sistemas específicos del proveedor, donde el razonamiento no se puede validar de forma independiente.

Para las Docker Hardened Images, utiliza escáneres compatibles con VEX para obtener resultados precisos que funcionen en todo tu conjunto de herramientas de seguridad.

Qué esperar de los diferentes escáneres

Al escanear las Docker Hardened Images con diferentes herramientas, verás diferencias significativas en el recuento de vulnerabilidades reportadas.

Qué filtran automáticamente los escáneres compatibles con VEX

Cuando escaneas las Docker Hardened Images con escáneres compatibles con VEX, excluyen automáticamente las vulnerabilidades que no se aplican:

  • Vulnerabilidades específicas de hardware: Problemas que solo afectan a arquitecturas de hardware específicas (por ejemplo, procesadores Power10) que resultan irrelevantes para las cargas de trabajo en contenedores.
  • Rutas de código inalcanzables: CVE en código que existe en el paquete pero que no se ejecuta en la configuración de tiempo de ejecución de la imagen.
  • Problemas únicamente de tiempo de construcción: Vulnerabilidades en herramientas de construcción o dependencias que no existen en la imagen de ejecución final.
  • Identificadores temporales: Identificadores de vulnerabilidades provisionales (como TEMP-xxxxxxx de Debian) que no están destinados a un seguimiento externo.

Utilizar escáneres sin soporte para VEX

Si tu escáner no admite VEX, deberás excluir manualmente las vulnerabilidades mediante mecanismos específicos de cada escáner, como listas de ignorados o excepciones de políticas. Esto requiere:

  • Revisar las declaraciones VEX de las Docker Hardened Images
  • Traducir las justificaciones de VEX al formato de tu escáner
  • Mantener estas exclusiones a medida que se descubren nuevas vulnerabilidades
  • Repetir este proceso si cambias de escáner o agregas herramientas de escaneo adicionales

Qué sigue

Aprende cómo escanear las Docker Hardened Images con escáneres compatibles con VEX.