As organizações não têm visibilidade sobre o destino de suas imagens de contêiner após saírem de ambientes controlados. Hoje, a BigID está disponibilizando como código aberto um rastreador de imagens de contêiner pronto para produção, para ajudar as equipes de segurança a monitorar registros públicos e reduzir os riscos da cadeia de suprimentos.
Por que o construímos
Há dois anos, nos propusemos a resolver um problema crescente: cópias não autorizadas de imagens de contêiner BigID aparecendo em registros públicos como DockerHub, AWS ECR Público, e Quay.io.
Não conseguimos detectar essas exposições de forma confiável. Descoberta Dependia da sorte. Alguém tinha que encontrar manualmente uma imagem pública.
Essa falta de visibilidade criava riscos tanto para a propriedade intelectual quanto para a segurança. Precisávamos de uma maneira escalável de monitorar onde nossas imagens de contêiner estavam presentes e se haviam sido alteradas.
O que estamos lançando
Hoje, estamos disponibilizando em código aberto um rastreador de imagens de contêiner pronto para produção, desenvolvido para extensibilidade e escalabilidade.
Qualquer organização pode implantá-lo para monitorar imagens de contêineres em registros públicos.
O rastreador realiza, logo após ser instalado, a seguinte varredura:
- Galeria Pública do AWS ECR
- DockerHub
- Quay.io
A arquitetura utiliza um sistema baseado em plugins. As equipes podem estender rapidamente a cobertura para registros adicionais, como:
- Registro de contêineres do GitHub
- GitLab
- registros privados
Essa flexibilidade permite que as equipes de segurança adaptem o monitoramento aos seus ambientes específicos.
Por que isso é importante
Imagens de contêineres não autorizadas representam mais do que um risco à propriedade intelectual. Elas criam uma brecha na segurança da cadeia de suprimentos.
Os atacantes podem modificar imagens legítimas e republicá-las. Os usuários subsequentes precisam então determinar se uma imagem é confiável ou se foi adulterada.
Sem monitoramento contínuo, Muitas vezes, as organizações descobrem esses riscos tarde demais, depois que as imagens já foram extraídas e utilizadas.
A maioria das equipes ainda depende de descoberta manual ou relatórios externos. Essa abordagem não é escalável.
De ferramenta interna a código aberto
Utilizamos esse rastreador em produção há dois anos. Ele nos proporciona visibilidade consistente da distribuição não autorizada de imagens e nos ajuda a responder mais rapidamente.
Ao torná-lo de código aberto, pretendemos:
- Reduzir as barreiras ao monitoramento de imagens de contêineres
- Ajude as equipes de segurança a reduzir os riscos na cadeia de suprimentos.
- Possibilitar melhorias mais abrangentes impulsionadas pela comunidade.
Comece agora
O repositório já está disponível em GitHub.
Implante, expanda e construa em cima disso. Se você criar algo valioso, ficaremos felizes em receber contribuições para o projeto.
