Resumo: Aikido suporta imagens Docker Hardened. Uma verificação que antes apresentava centenas de CVEs agora reduz-se a apenas algumas que se aplicam efetivamente, uma vez que as certificações VEX do Docker filtram tudo o que foi verificado como não explorável. Sem necessidade de configuração adicional.
Container tem um problema de ruído
Analisas uma container e recebes uma lista de 50, 100, por vezes centenas de CVEs. Abres alguns. Alguns parecem assustadores. A maioria é irrelevante. Alguns já foram corrigidos pelo responsável pela manutenção da imagem. Outros existem em partes da imagem que nunca poderão ser acedidas no teu ambiente. Mas a tua ferramenta não sabe nada disso. Limita-se a assinalar tudo e a passar-te o problema.
Então, passas a tarde a fazer uma triagem em vez de te dedicares ao lançamento. Tentas perceber quais os alertas que realmente importam. Fechas os que parecem apresentar baixo risco. Adias os que vais tratar «mais tarde». E, na semana seguinte, acontece exatamente o mesmo.
Isto não é um problema de segurança. É um problema de relação sinal-ruído. E é uma das principais razões pelas quais os programadores deixam completamente de confiar nas suas ferramentas de segurança. Quando tudo é sinalizado, nada parece urgente. É uma situação perigosa.
O que são imagens Docker Hardened
As imagens Docker Hardened são criadas especificamente para fins específicos, muitas vezes sem distribuição, e incluem apenas o software necessário para a carga de trabalho. A superfície de ataque é, por definição, mais reduzida e, em muitos casos, as correções são implementadas mais rapidamente do que na versão original. Além disso, incluem algo que a maioria das imagens base não possui: certificações VEX.
VEX significa Vulnerability Exploitability eXchange. Trata-se de uma forma padronizada para os responsáveis pela manutenção das imagens comunicarem quais as CVEs que não são efetivamente exploráveis numa imagem específica e porquê. Talvez o componente vulnerável não esteja presente nesta compilação. Talvez o caminho de código que tornaria a vulnerabilidade perigosa não exista neste contexto. A Docker realiza a análise e publica o resultado para cada imagem reforçada que mantém.
Eles analisam a imagem, encontram o CVE num pacote e assinalam-no de qualquer forma. Assim, adota uma imagem mais segura, executa a sua primeira análise e o seu feed fica a vermelho. Mais alertas do que antes. Parece que piorou a situação, embora a verdade seja exatamente o oposto.
Como Aikido isso
Quando Aikido uma imagem Docker Hardened no seu registo, obtém o SBOM assinado SBOM com a imagem para obter uma visão precisa do seu conteúdo e, em seguida, cruza essa informação com as certificações VEX da Docker para identificar o que é realmente vulnerável. Qualquer vulnerabilidade que a Docker tenha marcado como corrigida, não afetada ou que, de outra forma, não requeira triagem é suprimida antes mesmo de chegar ao seu feed.
.png)
As vulnerabilidades ocultadas não desaparecem simplesmente. Elas aparecem no separador «Ignoradas», para que tenha sempre uma visão completa do que foi detetado e do que foi filtrado.
Basta clicar em qualquer uma delas e Aikido todo o raciocínio e a verificação do próprio Docker, ali mesmo no separador.
%20(1).png)
.png)
Para as equipas de segurança e conformidade, isto significa que têm uma justificação documentada e verificável caso um auditor pergunte por que razão uma vulnerabilidade CVE não está a ser tratada.
Sem configuração. A sério.
Não é necessário configurar nada adicional. Ligue o seu registo do Docker Hub, analise uma imagem reforçada e Aikido do resto automaticamente em segundo plano. Se já estiver ligado ao Docker Hub no Aikido, o sistema já está a funcionar para si.
Se ainda não se conectou, demora cerca de dois minutos. Vá a Definições > Contentores, clique em «Ligar ao Registo», selecione o Docker Hub, introduza o seu namespace e um token de acesso apenas de leitura. E já está. Aikido os seus repositórios e qualquer imagem Docker Hardened que esteja a executar recebe automaticamente o tratamento completo do VEX em cada análise.
Segurança que funciona para os programadores
A fadiga de alertas é uma realidade. Quando a sua ferramenta de segurança dá o alarme à toa em cada verificação, deixa de prestar atenção. E quando deixa de prestar atenção, os problemas reais passam despercebidos.
Ligue o seu registo do Docker Hub e veja como fica o seu feed quando só lhe mostra o que realmente importa.
Comece a utilizar as imagens reforçadas do Docker aqui → https://integrations.aikido.dev/integrations/docker-hub
Junte-se a nós ao vivo no dia 25 de junho para ver a integração Aikido o Docker em ação.
