As vulnerabilidades em imagens de container não respeitam janelas de deployment. Elas podem surgir no momento da construção da imagem (build-time) ou enquanto seus serviços já estão em execução no ambiente de produção. O GitLab aborda essa realidade com múltiplas camadas de varredura, cada uma desenhada para mitigar riscos em diferentes estágios do ciclo de vida da aplicação. Neste artigo, analisamos como integrar essas estratégias na prática para fortalecer a postura de segurança do seu ecossistema cloud-native.
Por que o Container Scanning é inegociável
Vulnerabilidades em imagens de base, pacotes de sistemas operacionais e bibliotecas de terceiros representam o maior vetor de risco na cadeia de suprimentos de software (software supply chain). O Container Scanning atua como um componente vital de Software Composition Analysis (SCA), permitindo que times de engenharia identifiquem riscos antes que eles cheguem aos clusters de Kubernetes.
As cinco modalidades de Container Scanning no GitLab
O GitLab oferece cinco abordagens, cada uma com um objetivo tático distinto dentro de uma estratégia de DevSecOps madura:
- Pipeline-based Container Scanning
Funciona como o gateway de shift-left. Ao rodar durante o seu CI/CD pipeline, ele bloqueia imagens vulneráveis antes do push para o registry ou do deployment.
Como habilitar: Utilize o templateJobs/Container-Scanning.gitlab-ci.ymlno seu.gitlab-ci.yml.
Configurações críticas: Você pode ajustar oCS_IMAGEpara varreduras específicas ou definir oCS_SEVERITY_THRESHOLDpara filtrar apenas vulnerabilidades de nível crítico ou alto, evitando pipeline noise.
Gestão e visibilidade estratégica
A eficácia dessa ferramenta não reside apenas na detecção, mas no fluxo de remediação. A visibilidade no Merge Request (MR) transforma a segurança em uma responsabilidade compartilhada: ao invés de barrar o fluxo, o time de engenharia recebe o diagnóstico diretamente no código. Além disso, o Vulnerability Report centralizado permite que gestores de TI e times de segurança priorizem riscos de forma sistemática.
O Dependency List também oferece um SBOM (Software Bill of Materials) automático. Em contextos brasileiros, onde a conformidade com normas como a LGPD ou requisitos de governança de grandes empresas exige visibilidade total, ter esse inventário atualizado não é apenas segurança — é conformidade operacional.
-
Container Scanning for Registry
Disponível na versão Ultimate, monitora continuamente imagens no Registry. É a proteção contra vulnerabilidades descobertas após a publicação da imagem (zero-days). -
Multi-Container Scanning
Essencial para arquiteturas de microsserviços. Permite escaneamentos paralelos, otimizando o throughput do seu CI/CD ao tratar múltiplos artefatos de uma só vez. -
Continuous Vulnerability Scanning
Monitora o banco de dados de advisories contra seu SBOM registrado. É a automação que trabalha enquanto seu pipeline está parado, garantindo que você seja notificado sobre novos CVEs sem esforço manual. -
Operational Container Scanning
Esta é a camada de runtime. Utilizando o GitLab Agent para Kubernetes, a ferramenta varre os containers que já rodam no seu cluster, detectando problemas originados após o deployment.
Conclusão: a escolha certa para o seu contexto
Não tente implementar tudo de uma vez. A maturidade vem por etapas: comece com o Pipeline-based scanning para garantir o mínimo de higiene no código. À medida que sua arquitetura ganha complexidade e o uso de microserviços aumenta, evolua para a varredura contínua e de runtime. Em ambientes multicloud, essa visão integrada do GitLab reduz o risco operacional e permite que o time de TI foque na escalabilidade, e não apenas no combate a incêndios.
Artigo originalmente publicado por Fernando Diaz em GitLab.
