Análisis de contenedores con GitLab y Clair para detectar vulnerabilidades

Clase 38 de 53 • Curso de DevOps con GitLab

Resumen

Antes de llevar una aplicación a producción, el análisis de contenedores en GitLab te permite detectar vulnerabilidades en código, dependencias y paquetes del sistema operativo dentro de las imágenes. Con el soporte de Clair y el container scanning, podrás ver severidades, IDs y descripciones claras para tomar decisiones informadas y reducir la superficie de ataque desde el inicio hasta el despliegue.

¿Por qué el análisis de contenedores en GitLab es clave antes de producción?

Realizar escaneos previos expone hoyos de seguridad no solo en el código y las librerías, sino también en los paquetes del sistema instalados dentro del contenedor. GitLab integra resultados que muestran severidades como low, medium, high o crítico, ayudando a priorizar. Además, recuerda: no guardes contraseñas ni secretos en el code base; los detectores como high entropy pueden marcar posibles filtraciones y evitar riesgos.

Revisar código, dependencias y paquetes del sistema en contenedores.
Evitar almacenar secretos en el repositorio de Git.
Priorizar según severidad para reducir riesgo.
Mantener foco en todo el ciclo de DevSecOps.

¿Cómo funciona Clair y el container scanning en GitLab CI?

GitLab utiliza Clair, un proyecto open source que centraliza una base de datos de vulnerabilidades y ofrece una API para consultar estatus, IDs y clasificaciones definidas por expertos en seguridad. Para activarlo, se añade el container scanning en el archivo GitLabci.yaml, lo que detona el job que analiza las imágenes y devuelve un reporte dentro de GitLab con descripciones y enlaces a cada hallazgo.

¿Qué información devuelve Clair por vulnerabilidad?

Clair expone datos clave: estatus de la vulnerabilidad, ID y clasificación. En GitLab, al abrir un hallazgo se observa la descripción del problema y un enlace para profundizar. Esto permite entender el impacto y decidir acciones concretas sin salir del flujo de trabajo.

¿Cómo se interpreta el reporte de GitLab?

En el análisis mostrado, una imagen de Ubuntu 16.04 reporta decenas de problemas de seguridad, mayormente con severidad low o medium. Al abrir uno, se ve la descripción y el enlace relacionado. Si apareciera una severidad high o crítica, convendría evaluar cambiar a una imagen más ligera para reducir la superficie de ataque. Un ejemplo citado es Alpine, por su menor tamaño y menor exposición.

¿Qué pasó con high entropy y los secretos?

El caso de high entropy no fue una vulnerabilidad real: fue un falso positivo donde GitLab intentó prevenir la exposición de secretos. El recordatorio es claro: jamás subas contraseñas de bases de datos u otros secretos al repositorio.

¿Qué decisiones tomar ante severidades y superficies de ataque?

La prioridad es limitar riesgos antes de producción y durante el ciclo de DevSecOps. Cuando el reporte marque severidades high o críticas, considera cambiar de imagen por una más ligera, con menos componentes y menor superficie de ataque. En el ejemplo, Ubuntu 16.04 acumuló muchas vulnerabilidades, mientras que alternativas como Alpine pueden ayudar a disminuir la exposición.

Usar imágenes más ligeras si la severidad lo requiere.
Reducir componentes para limitar la superficie de ataque.
Monitorear vulnerabilidades y actuar de forma proactiva.
Sostener la seguridad desde el inicio hasta producción.

¿Has visto paquetes a nivel sistema operativo con fallos explotados para acceso no autorizado? Comparte tu experiencia y el paquete afectado en los comentarios. Me encantará leer tus casos y aprendizajes.

Helí Fernando Jerez Rincón

student•

Les dejo una lista de herramientas de seguridad para docker.

https://techbeacon.com/security/10-top-open-source-tools-docker-security.

Gitlab usa:

https://github.com/quay/clair https://github.com/optiopay/klar

Ricardo Portillo

student•

Un caso muy común es cuando los desarrolladores no se actualizan y se mantiene utilizando dependencias por tradición durante años. Esto crea vulnerabilidades que han sido solucionadas hace tiempo pero que al no se reparadas suceden.

En el caso de donde vivo se ha visto mucho en páginas del gobierno.

Edwin Garcia

student•

muy cierto, la falta de actualización que se genera en muchas dependencias gubernamentales tienden a generarles muchas fallas de seguridad

Pablo Aquino

student•

Es cierto, por evitar que la aplicación se desconfigure se deja de actualizar SO.

Gustavo Saldivia

student•

contenedores con bases de datos con usuario por defecto , hay un exploit de postgres que te da acceso a root (dentro del contenedor) y en el caso de mongo te pueden dumpear toda la dtb y borrartela y pedir rescate(me ha pasado)

José Carlos Iriarte Olivera

student•

Container Scanning

Utiliza Clair y clair-scanner para verificar los contenedores.
Si deseas omitir vulnerabilidades, las puedes incluir en el archivo clair-whitelist.yml.
Verifica que los paquetes instalados a nivel de contenedor no tengan vulnerabilidad de seguridad.

Luis Antonio Aguilar Ramirez

student•

Container scanning

Gitlab usa proyecto de clair y clair-scanner el cual permite realizar consultas de vulnerabilidades que es una base de datos el cual define status, id y clasificación de las vulnerabilidades que expertos de seguridad le han dado.

tambien verifica que los paquetes instalados a nivel contenedor no tengan vulnerabilidades de seguridad.

<u>Para omitir las vulnerabilidades</u>

Se debe incluir en el archivo clair-whitelist.yml

Esteban Arteaga

student•

2024.03.14 gitlab recomienda integrar<u> </u>trivy https://github.com/aquasecurity/trivy como scaner de contenedores https://docs.gitlab.com/ee/user/application_security/container_scanning/

       _      _       _     
      (_)_   | |     | |    
  ____ _| |_ | | ____| | _  
 / _  | |  _)| |/ _  | || \ 
( ( | | | |__| ( ( | | |_) )
 \_|| |_|\___)_|\_||_|____/ 
(_____|

jonathan diaz Diaz Diaz

student•

José Hugo Calderón Villanueva

student•

Buena clase

Mauricio Acevedo Rueda

student•

Cuando se utilizan las imagenes docker ejemplo https://hub.docker.com/_/drupal/ se pueden presentar estos errores ?

Si se presentan, que tan rapido es la respuesta de actualizacion de estas ?

muchas gracias

Francisco Garcia [C6]

student•

no esta corriendo el video, aparece este mensaje de error. The media playback was aborted due to a corruption problem or because the media used features your browser did not support.

Francisco Garcia [C6]

student•

Muchas gracias el equipo de soporte ya ne ayudo y lo soluciono, bastó con borrar las cookies.