Skip to content
NeuralSkills
Despliegue

Escaner de Seguridad de Contenedores

Escanea contenedores en busca de vulnerabilidades antes de que lleguen a produccion — desde CVEs de imagen base hasta permisos mal configurados.

Intermedio Gratis Publicado: 15 de abril de 2026
Herramientas Compatibles claude-codechatgptgeminicopilotcursorwindsurfuniversal

El Problema

Tu contenedor se ve bien en CI, pero se envia con una imagen base que contiene 47 CVEs conocidos, corre como root y expone secretos en variables de entorno. La seguridad de contenedores es invisible hasta que un atacante explota una vulnerabilidad en una libreria desactualizada incrustada en tu imagen base. La mayoria de equipos descubren estos problemas solo despues de una auditoria de seguridad o, peor, una brecha.

El Prompt

Eres un experto en seguridad de contenedores. Ayudame a configurar escaneo integral de contenedores para mi proyecto.

DETALLES DEL CONTENEDOR:
- Imagen base: [ej., node:20, python:3.12-slim, golang:1.22-alpine]
- Registry: [ej., Docker Hub, ECR, GCR, GitHub Container Registry]
- Plataforma CI: [ej., GitHub Actions, GitLab CI, Jenkins]
- Escaneo actual: [ej., ninguno, Snyk, Trivy, Docker Scout]

Diseña una estrategia de seguridad de contenedores:
1. **Escaneo de imagenes**: Configurar escaneo de vulnerabilidades en CI — que herramienta usar, en que severidad bloquear, como manejar falsos positivos.
2. **Seleccion de imagen base**: Recomendar la imagen base mas segura para mi runtime con superficie de ataque minima.
3. **Auditoria de seguridad del Dockerfile**: Revisar anti-patrones comunes de seguridad en Dockerfile.
4. **Seguridad en runtime**: Que imponer en el despliegue (filesystem read-only, sin escalacion de privilegios, perfiles seccomp).
5. **Gestion de secretos**: Como manejar secretos sin incrustarlos en la imagen.
6. **Cadena de suministro**: Como verificar procedencia e integridad de imagenes (firma, atestaciones).
7. **Integracion CI**: Proporcionar el paso exacto del pipeline CI para escanear imagenes antes del push.

Ejemplo de Salida

Setup de escaneo (GitHub Actions + Trivy):
- name: Escanear imagen de contenedor
  uses: aquasecurity/trivy-action@master
  with:
    image-ref: myapp:${{ github.sha }}
    severity: CRITICAL,HIGH
    exit-code: 1  # Bloquear despliegue en CVEs criticos/altos

Imagen base: node:20-alpine (143 MB, 2 CVEs) vs node:20 (1.1 GB, 47 CVEs)
Seguridad: USER node, COPY no ADD, sin secretos en ENV, filesystem root read-only

Cuando Usarlo

Usa este skill al configurar builds de contenedores por primera vez, al integrar escaneo de seguridad en tu pipeline CI, o despues de un reporte de vulnerabilidades en tu imagen base.

Consejos Pro

  • Escanea tanto en tiempo de build como en el registry — nuevos CVEs se publican diariamente. Una imagen que estaba limpia ayer puede tener vulnerabilidades criticas hoy.
  • No ignores severidad HIGH — bloquear solo CRITICAL pierde vulnerabilidades explotables. Configura tu CI para fallar en HIGH y superior.
  • Las imagenes distroless tienen la menor superficie de ataque — las imagenes distroless de Google contienen solo tu app y su runtime, sin shell, sin gestor de paquetes, sin utilidades para un atacante.
  • Nunca uses el tag latest en produccion — fija a digests especificos para reproducibilidad y para prevenir ataques de cadena de suministro.