⌘K
ENES
GitHub
conceptDevSecOps~1 min de lecturaActualizado Apr 23, 2026

Image Scanning

Definición

Image scanning es el proceso de inspeccionar container images en busca de vulnerabilidades conocidas, paquetes riesgosos y otros issues antes de promoción o deployment.

Por qué importa

Image scanning es útil, pero solo cuando está ubicado en el contexto correcto. No reemplaza dependency management, build integrity ni una estrategia segura de base images. Es una señal dentro de un sistema DevSecOps más grande. Esta nota se mantiene intencionalmente acotada: scanning ayuda a exponer issues conocidos, pero por sí solo no puede probar que un container esté bien diseñado, sea mínimamente privilegiado o se promueva de forma segura.

Perspectiva del atacante

Los atacantes se benefician cuando los equipos:

  • confían ciegamente en el output del scan
  • ignoran imágenes no escaneadas y caminos laterales
  • usan bases vulnerables porque “el build pasó”
  • dependen de scanning sin arreglar ni priorizar

Perspectiva del defensor

Los defensores deberían:

  • tratar scanning como un control entre muchos
  • escanear temprano y antes del release
  • priorizar por exploitability y exposición, no solo por conteo
  • entender blind spots del scanner y riesgos de falsa confianza

Ejemplos prácticos

  • imágenes pasan un scan gate pero todavía contienen tooling riesgoso sin uso y malos defaults
  • una ruta side-loaded de imágenes bypass-ea scanning por completo
  • los equipos escanean pero no hacen triage ni remediación significativa

Notas relacionadas

Referencias

  • Fundamental: NIST SP 800-218 SSDF — https://csrc.nist.gov/pubs/sp/800/218/final
  • Fundamental: OWASP Software Supply Chain Security Cheat Sheet — https://cheatsheetseries.owasp.org/cheatsheets/Software_Supply_Chain_Security_Cheat_Sheet.html

Notas relacionadas

DevSecOpsArtifact IntegrityArtifact integrity es la garantía de que outputs de build, paquetes, imágenes y artifacts de release no fueron manipulados y pueden trazarse hasta el proceso de build previsto. DevSecOpsASVS como input del proceso de desarrolloEsta nota trata OWASP ASVS no como una checklist post-hoc, sino como un input del proceso de desarrollo para diseñar, revisar y verificar controles técnicos de seguridad durante la implementación. DevSecOpsProtección de ramas y controles de releaseLa protección de ramas y los controles de release son las reglas y mecanismos de governance que determinan quién puede cambiar rutas de código protegidas, aprobar releases y promover artifacts hacia producción. DevSecOpsCI/CD HardeningCI/CD hardening es asegurar el build, test y deployment pipeline para que la automatización se vuelva una ruta de control confiable en vez de un amplificador de ataques. DevSecOpsContainer SecurityContainer security es la práctica de reducir riesgo en cómo las aplicaciones containerizadas se construyen, configuran, shippean y corren. DevSecOpsDependency RiskDependency risk es el riesgo de seguridad introducido por librerías, frameworks y paquetes de terceros directos y transitivos, y por sus patrones de actualización y confianza.