⌘K
ENES
GitHub
conceptDevSecOps~1 min de lecturaActualizado Apr 23, 2026

Container Security

Definición

Container security es la práctica de reducir riesgo en cómo las aplicaciones containerizadas se construyen, configuran, shippean y corren.

Por qué importa

Los containers facilitan delivery, pero también empaquetan software, dependencias, configuración y supuestos de privilegio en una unidad altamente portable. Imágenes base débiles, privilegios amplios y malos defaults pueden escalar patrones inseguros rápidamente. Container security es más amplio que image-scanning: scanning es un control útil, pero el tema completo incluye confianza en base images, diseño de privilegios, build context, postura runtime y disciplina de promoción.

Perspectiva del atacante

Los atacantes buscan:

  • containers demasiado privilegiados
  • imágenes base débiles o infladas
  • secrets embebidos en imágenes
  • tooling admin/debug expuesto
  • drift entre lo que contiene la imagen y lo que los equipos creen que contiene

Perspectiva del defensor

Los defensores deberían:

  • reducir complejidad de imágenes
  • controlar privilegios y capabilities cuidadosamente
  • mantener intencionales el build context y el contenido de imágenes
  • separar higiene de build de supuestos runtime
  • revisar cómo se obtienen y promueven las imágenes

Ejemplos prácticos

  • un container corre como root sin necesidad
  • debug tools y credenciales están embebidas en imágenes de producción
  • los equipos heredan una base image sin entender su estado de mantenimiento

Notas relacionadas

Referencias

  • Fundamental: NIST SP 800-218 SSDF — https://csrc.nist.gov/pubs/sp/800/218/final
  • Fundamental: CISA Secure by Design — https://www.cisa.gov/resources-tools/resources/secure-by-design

Notas relacionadas

DevSecOpsArtifact IntegrityArtifact integrity es la garantía de que outputs de build, paquetes, imágenes y artifacts de release no fueron manipulados y pueden trazarse hasta el proceso de build previsto. DevSecOpsASVS como input del proceso de desarrolloEsta nota trata OWASP ASVS no como una checklist post-hoc, sino como un input del proceso de desarrollo para diseñar, revisar y verificar controles técnicos de seguridad durante la implementación. DevSecOpsProtección de ramas y controles de releaseLa protección de ramas y los controles de release son las reglas y mecanismos de governance que determinan quién puede cambiar rutas de código protegidas, aprobar releases y promover artifacts hacia producción. DevSecOpsCI/CD HardeningCI/CD hardening es asegurar el build, test y deployment pipeline para que la automatización se vuelva una ruta de control confiable en vez de un amplificador de ataques. DevSecOpsDependency RiskDependency risk es el riesgo de seguridad introducido por librerías, frameworks y paquetes de terceros directos y transitivos, y por sus patrones de actualización y confianza. DevSecOpsImage ScanningImage scanning es el proceso de inspeccionar container images en busca de vulnerabilidades conocidas, paquetes riesgosos y otros issues antes de promoción o deployment.