Compartir comentarios
Las respuestas se generan en base a la documentación.

Image security insights

Tabla de contenidos

Refuerza la seguridad de tus imágenes de Docker con la información de seguridad de imágenes de Docker Hub. Docker Hub te permite realizar un escaneo estático de vulnerabilidades en un momento dado o un análisis de imágenes siempre actualizado con Docker Scout.

Análisis de imágenes de Docker Scout

Tras activar el análisis de imágenes de Docker Scout, Docker Scout analiza automáticamente las imágenes de tu repositorio de Docker Hub.

El análisis de imágenes extrae la lista de componentes de software (SBOM) y otros metadatos de la imagen, y los evalúa frente a los datos de vulnerabilidad de los avisos de seguridad.

Las siguientes secciones describen cómo activar o desactivar el análisis de imágenes de Docker Scout para un repositorio de Docker Hub. Para obtener más detalles sobre el análisis de imágenes, consulta Docker Scout.

Activar el análisis de imágenes de Docker Scout

  1. Inicia sesión en Docker Hub.

  2. Selecciona My Hub > Repositories.

    Aparece una lista de tus repositorios.

  3. Selecciona un repositorio.

    Aparece la página General del repositorio.

  4. Selecciona la pestaña Settings.

  5. En Image security insight settings, selecciona Docker Scout image analysis.

  6. Selecciona Save.

Desactivar el análisis de imágenes de Docker Scout

  1. Inicia sesión en Docker Hub.

  2. Selecciona My Hub > Repositories.

    Aparece una lista de tus repositorios.

  3. Selecciona un repositorio.

    Aparece la página General del repositorio.

  4. Selecciona la pestaña Settings.

  5. En Image security insight settings, selecciona None.

  6. Selecciona Save.

Escaneo estático de vulnerabilidades

Note

El escaneo estático de vulnerabilidades de Docker Hub requiere una suscripción de Docker Pro, Team o Business.

Cuando envías (push) una imagen a un repositorio de Docker Hub después de activar el escaneo estático, Docker Hub escanea automáticamente la imagen para identificar vulnerabilidades. Los resultados del escaneo muestran el estado de seguridad de tus imágenes en el momento en que se ejecutó el escaneo.

Los resultados del escaneo incluyen:

  • El origen de la vulnerabilidad, como paquetes y bibliotecas del sistema operativo (OS)
  • La versión en la que se introdujo
  • Una versión corregida recomendada, si está disponible, para subsanar las vulnerabilidades descubiertas.

Cambios en el escaneo estático de Docker Hub

A partir del 27 de febrero de 2023, Docker cambió la tecnología que soporta la función de escaneo estático de Docker Hub. El escaneo estático ahora es realizado de forma nativa por Docker, en lugar de por un tercero.

Como resultado de este cambio, el escaneo ahora detecta vulnerabilidades a un nivel más detallado que antes. Esto, a su vez, significa que los informes de vulnerabilidad pueden mostrar un mayor número de vulnerabilidades. Si utilizabas el escaneo de vulnerabilidades antes del 27 de febrero de 2023, es posible que observes que los nuevos informes de vulnerabilidad enumeran un número mayor de vulnerabilidades debido a un análisis más exhaustivo.

No se requiere ninguna acción por tu parte. Los escaneos continúan ejecutándose como de costumbre sin interrupciones ni cambios en los precios. Los datos históricos siguen estando disponibles.

Activar el escaneo estático de vulnerabilidades

Los propietarios y administradores de repositorios pueden habilitar el escaneo estático de vulnerabilidades en un repositorio. Si eres miembro de una suscripción Team o Business, asegúrate de que el repositorio en el que deseas habilitar el escaneo forme parte del nivel Team o Business.

Cuando el escaneo está activo en un repositorio, cualquiera con acceso de subida (push) puede activar un escaneo enviando una imagen a Docker Hub.

Para habilitar el escaneo estático de vulnerabilidades:

Note

El escaneo estático de vulnerabilidades permite escanear imágenes que son de arquitectura AMD64, sistema operativo Linux y tienen un tamaño inferior a 10 GB.

  1. Inicia sesión en Docker Hub.

  2. Selecciona My Hub > Repositories.

    Aparece una lista de tus repositorios.

  3. Selecciona un repositorio.

    Aparece la página General del repositorio.

  4. Selecciona la pestaña Settings.

  5. En Image security insight settings, selecciona Static scanning.

  6. Selecciona Save.

Escanear una imagen

Para escanear una imagen en busca de vulnerabilidades, envía la imagen a Docker Hub, al repositorio para el cual has activado el escaneo.

Ver el informe de vulnerabilidad

Para ver el informe de vulnerabilidad:

  1. Inicia sesión en Docker Hub.

  2. Selecciona My Hub > Repositories.

    Aparece una lista de tus repositorios.

  3. Selecciona un repositorio.

    Aparece la página General del repositorio. El informe de vulnerabilidad puede tardar un par de minutos en aparecer en tu repositorio.

    Vulnerability scan report

  4. Selecciona la pestaña Tags, luego Digest y después Vulnerabilities para ver el informe de escaneo detallado.

    El informe de escaneo muestra las vulnerabilidades identificadas por el escaneo, ordenándolas según su gravedad, con la gravedad más alta al principio. Muestra información sobre el paquete que contiene la vulnerabilidad, la versión en la que se introdujo y si la vulnerabilidad está corregida en una versión posterior.

    Vulnerability scan details

Para obtener más información sobre esta vista, consulta Vista de detalles de la imagen.

Inspeccionar vulnerabilidades

El informe de vulnerabilidad clasifica las vulnerabilidades en función de su gravedad. Muestra información sobre el paquete que contiene la vulnerabilidad, la versión en la que se introdujo y si la vulnerabilidad se ha solucionado en una versión posterior.

El informe de escaneo de vulnerabilidades también permite a los equipos de desarrollo y responsables de seguridad comparar los recuentos de vulnerabilidades entre etiquetas para ver si las vulnerabilidades están disminuyendo o aumentando a lo largo del tiempo.

Corregir vulnerabilidades

Una vez identificada la lista de vulnerabilidades, hay un par de acciones que puedes realizar para subsanarlas. Por ejemplo, puedes:

  1. Especificar una imagen base actualizada en el Dockerfile, comprobar las dependencias a nivel de aplicación, volver a compilar la imagen de Docker y luego enviar la nueva imagen a Docker Hub.
  2. Volver a compilar la imagen de Docker, ejecutar un comando de actualización en los paquetes del sistema operativo y enviar una versión más reciente de la imagen a Docker Hub.
  3. Editar el Dockerfile para eliminar o actualizar manualmente bibliotecas específicas que contengan vulnerabilidades, volver a compilar la imagen y enviar la nueva imagen a Docker Hub.

Docker Scout puede proporcionarte pasos de corrección concretos y contextuales para mejorar la seguridad de las imágenes. Para obtener más información, consulta Docker Scout.

Desactivar el escaneo estático de vulnerabilidades

Los propietarios y administradores de repositorios pueden deshabilitar el escaneo estático de vulnerabilidades en un repositorio. Para deshabilitar el escaneo:

  1. Inicia sesión en Docker Hub.

  2. Selecciona My Hub > Repositories.

    Aparece una lista de tus repositorios.

  3. Selecciona un repositorio.

    Aparece la página General del repositorio.

  4. Selecciona la pestaña Settings.

  5. En Image security insight settings, selecciona None.

  6. Selecciona Save.