Herramienta de verificación de imágenes de la Plataforma CI/CD

Información general

Icono sistema de diseño
Tipo de recurso
Aplicación / utilidad
Etiquetas
DevSecOps

¿En qué consiste?

La herramienta de  verificación de dockerfile y de la imagen generada utilizada por la Plataforma CI/CD corporativa es Trivy.

Trivy es una herramienta de análisis de seguridad de contenedores e imágenes mantenida por Aqua Security, cuyo objetivo es identificar vulnerabilidades, configuraciones inseguras y otros riesgos de seguridad en imágenes de contenedores. La herramienta realiza el análisis mediante la comparación de los componentes del sistema operativo y de las dependencias incluidas en las imágenes con bases de datos de vulnerabilidades conocidas (por ejemplo, CVE de distribuciones Linux y otros repositorios de seguridad).

Trivy permite analizar, entre otros aspectos:

  • Vulnerabilidades en paquetes del sistema operativo incluidos en la imagen.
  • Vulnerabilidades en dependencias de aplicaciones.
  • Configuraciones inseguras en imágenes y artefactos asociados.
  • Información detallada sobre las vulnerabilidades detectadas, su severidad y referencias asociadas.

Trivy se caracteriza por su facilidad de integración con entornos de contenedores y plataformas CI/CD, así como por su capacidad para ejecutarse tanto en entornos locales como dentro de pipelines automatizados. Esto permite a los equipos de desarrollo incorporar el análisis de imágenes como parte del ciclo de vida del software, favoreciendo la detección temprana de vulnerabilidades y reduciendo riesgos de seguridad en fases avanzadas del despliegue.

Esta herramienta de análisis de imágenes  está integrada en el Pipeline de CI utilizado por la Plataforma de CI/CD Corporativa, de forma que, durante el proceso de construcción y despliegue de un componente, se ejecuta automáticamente el análisis de la imagen generada, produciendo un informe con el resultado del análisis y las vulnerabilidades detectadas. 

¿A quién va dirigido?

El alcance de esta herramienta se extiende a toda la ADA. Todo componente software desarrollado podrá solicitar su integración en la Plataforma CI/CD corporativa y así hacer uso de la herramienta de verificación de imágenes.

¿Cómo lo solicito?

Para solicitar el uso de la Plataforma CI/CD corporativa se debe realizar a través del siguiente servicio de NAOS:

  • Operación: Realizar petición
  • Servicio: DSO - Impulso DevSecOps
  • Componente: Inclusión de un nuevo sistema/componente en circuito DevSecOps (CI/CD)
  • Elemento: (Sin determinar)

Necesito soporte

Se brindará soporte al personal técnico TIC de la ADA mediante solicitud a través de NAOS: 

  • Operación: Realizar petición  
  • Servicio: DSO - Impulso DevSecOps  
  • Componente: Soporte de las herramientas de apoyo DevSecOps  
  • Elemento: (Sin determinar) 

Reglas y pautas

Existen una serie de normas obligatorias y/o recomendadas que deben cumplir los usuarios y sistemas de información que utilicen la herramienta verificación imágenes en la Plataforma de CI/CD Corporativa:

Versiones

Fecha Nombre de la versión
Herramienta de verificación de imágenes v0.67.2