Docker Security Scanning: ¿Qué es y para qué sirve?

Hace apenas algunos días, Docker Inc. liberó la nueva funcionalidad de seguridad para sus repositorios privados en la nube llamada: Docker Security Scanning (DSS). Esta herramienta permite el análisis de seguridad a nivel binario de las imágenes del repositorio antes de que sean liberadas; proporciona además un panel de administración junto con un sistema de notificaciones que manda alertas vía correo electrónico a los administradores de los repositorios cuando nuevas vulnerabilidades son encontradas.

Pero ¿Qué es Docker?

Docker es un contenedor de software seguro y ligero de Docker Inc. que permite envolver piezas de software en un sistema de archivos junto con todo lo que se necesita para funcionar y correr una o varias aplicaciones de forma independiente, garantizando que se ejecuten siempre de la misma forma, a pesar del entorno o sistema operativo. Docker permite acelerar el proceso de desarrollo, eliminando inconsistencias en los ambientes, mejorando la distribución de código y permitiendo una colaboración mucho más efectiva entre desarrolladores. Así mismo, Docker, Inc. ofrece toda una infraestructura en la nube (Docker Cloud) que cuenta con soporte técnico 24/7, panel de administración web y seguridad para sus repositorios, además de una forma fácil y rápida de escalar nuestras aplicaciones junto con otros servicios adicionales.

Arquitectura de los repositorios de Docker:

Fuente: https://www.docker.com/what-docker

No obstante, el motor del repositorio de Docker es un proyecto de código abierto que podemos descargar y ejecutar de manera local o en nuestros propios servidores de forma gratuita.

Y ¿Cómo funciona DSS?

El servicio de DSS se dispara cuando un usuario sube una imagen a un repositorio de Docker Cloud: el servicio recibe la imagen y la descompone en sus respectivos componentes. Después lo compara con las bases de datos de Vulnerabilidades Conocidas (Bases de datos CVE) y finalmente verifica todos los componentes a nivel binario para validar su contenido. Este proceso garantiza la seguridad de las imágenes a un nivel mucho mayor que otros servicios. Una vez que el resultado del escaneo está listo, es enviado a la interfaz gráfica del servicio de Docker Cloud. Cuando una nueva vulnerabilidad es reportada a las bases de datos CVE, el servicio de DSS se activa y revisa si hay dentro del repositorio alguna imagen o componente con esta vulnerabilidad y envía un reporte vía email a los administradores del repositorio. La información presentada tanto en la interfaz gráfica como en los correos electrónicos contiene datos acerca de las vulnerabilidades y las imágenes que las presentan. Lo cual permite a los equipos de administración revisar la severidad de la situación en detalle y tomar decisiones adecuadas al respecto.

Funcionamiento del servicio DSS:

Fuente: https://blog.docker.com/2016/05/docker-security-scanning/

Una gran mejora de seguridad

Esta nueva funcionalidad que agrega el equipo de Docker es realmente importante para los procesos de trabajo de los equipos de desarrollo que utilizan Docker Cloud ya que aumentará la seguridad de las imágenes liberadas y permitirá la continua verificación de las mismas. Además el servicio de DSS se ejecuta de forma automática por los servicios de Docker Cloud, permitiendo a los desarrolladores enfocarse en la construcción del producto, y en tener un flujo de trabajo mucho más ágil y efectivo.

¿Por qué apostar a Docker?

Docker es un servicio innovador que permite a los equipos de trabajo enfocarse en los procesos de desarrollo mediante la fácil configuración de los repositorios, en los cuales podrán tener ambientes independientes para sus aplicaciones, capaces de correr en cualquier sistema operativo o cualquier plataforma en la nube. Sin duda es una herramienta que está tomando mucha fuerza mundialmente, no solo dentro de la comunidad de desarrolladores sino también a un nivel empresarial, pues ya utilizado por empresas tan grandes como: Uber, P&G, Shopify, Spotify, BBC News, entre muchas otras. Si quieres aprender a manejar Docker a nivel profesional y potenciar tus procesos de desarrollo, entra al curso de Docker en Platzi con el profesor Marcos Lilljedahl:

Información adicional

• Actualmente Docker se encuentra en estable solo para Linux, sin embargo ya está disponible en beta para Windows y Mac;
• Actualmente Docker, Inc. pone disponible gratuitamente el servicio de DSS para los usuarios activos de Docker Cloud por tiempo limitado.
• Puedes encontrar un grupo de entusiastas de Docker cerca de ti, para charlar y compartir ideas en los meetups que se organizan.