Las organizaciones carecen de visibilidad sobre el destino final de sus imágenes de contenedores una vez que salen de entornos controlados. Hoy, BigID publica como código abierto un rastreador de imágenes de contenedores listo para producción que ayudará a los equipos de seguridad a supervisar los registros públicos y reducir el riesgo en la cadena de suministro.
Por qué lo construimos
Hace dos años, nos propusimos resolver un problema creciente: copias no autorizadas de imágenes de contenedores BigID que aparecen en registros públicos como DockerHub, AWS ECR Públicoy Quay.io.
No pudimos detectar estas exposiciones de forma fiable. Descubrimiento Dependía del azar. Alguien tenía que encontrar manualmente una imagen pública.
Esa falta de visibilidad generaba riesgos para la propiedad intelectual y posibles vulnerabilidades de seguridad. Necesitábamos una forma escalable de monitorear dónde aparecían nuestras imágenes de contenedores y si habían sido modificadas.
Lo que vamos a lanzar
Hoy publicamos como código abierto un rastreador de imágenes de contenedores listo para producción, diseñado para ser extensible y escalable.
Cualquier organización puede implementarlo para supervisar imágenes de contenedores en registros públicos.
De fábrica, el rastreador escanea:
- Galería pública AWS ECR
- DockerHub
- Quay.io
La arquitectura utiliza un sistema basado en complementos. Los equipos pueden ampliar rápidamente la cobertura a registros adicionales como:
- Registro de contenedores de GitHub
- GitLab
- Registros privados
Esta flexibilidad permite a los equipos de seguridad adaptar la monitorización a sus entornos específicos.
Por qué esto importa
Las imágenes de contenedores no autorizadas conllevan algo más que un riesgo para la propiedad intelectual. Crean una brecha de seguridad en la cadena de suministro.
Los atacantes pueden modificar imágenes legítimas y volver a publicarlas. Los usuarios posteriores deben entonces determinar si una imagen es confiable o si ha sido manipulada.
Sin monitoreo continuo, Las organizaciones suelen descubrir estos riesgos demasiado tarde, después de que las imágenes ya han sido extraídas y utilizadas.
La mayoría de los equipos aún dependen del descubrimiento manual o de informes externos. Ese enfoque no es escalable.
De herramienta interna a código abierto.
Hemos estado utilizando este rastreador en producción durante dos años. Nos proporciona una visibilidad constante sobre la distribución no autorizada de imágenes y nos ayuda a responder con mayor rapidez.
Al liberarlo como código abierto, nuestro objetivo es:
- Reducir las barreras para la monitorización de imágenes de contenedores.
- Ayudar a los equipos de seguridad a reducir el riesgo en la cadena de suministro.
- Facilitar mejoras más amplias impulsadas por la comunidad.
Comenzar
El repositorio ya está disponible en GitHub.
Despliégalo, amplíalo y desarrolla nuevas funcionalidades a partir de él. Si creas algo valioso, agradecemos tus contribuciones al proyecto.
