https://knightli.com/es/tags/devsecops/ Recent content in DevSecOps on KnightLi Blog Hugo -- gohugo.io es Sat, 06 Jun 2026 22:26:00 +0800 https://knightli.com/es/2026/06/06/trivy-container-kubernetes-security-scanner/ Sat, 06 Jun 2026 22:26:00 +0800 https://knightli.com/es/2026/06/06/trivy-container-kubernetes-security-scanner/ <p><code>aquasecurity/trivy</code> es una herramienta de escaneo de seguridad de código abierto muy utilizada. Puede escanear imágenes de contenedores, Kubernetes, repositorios de código, configuraciones de nube, IaC, secretos, SBOM, vulnerabilidades y configuraciones erróneas.</p> <p>Si está utilizando Docker, Kubernetes o CI/CD, Trivy es básicamente una herramienta que encontrará tarde o temprano.</p> <h2 id="qué-puede-escanear">¿Qué puede escanear? </h2><p>Trivy cubre una amplia gama de áreas:</p> <ul> <li>Vulnerabilidad de la imagen del contenedor;</li> <li>Sistema de archivos y repositorio de códigos;</li> <li>Recursos de Kubernetes;</li> <li>IaC como Terraform, Kubernetes YAML;</li> <li>Secreto filtrado;</li> <li>Riesgo de licencia;</li> <li>Generación y escaneo de SBOM;</li> <li>Problemas de configuración de recursos en la nube.</li> </ul> <p>Su valor radica en unificar múltiples tipos de controles de seguridad en una sola herramienta, en lugar de instalar un escáner para cada tipo de riesgo.</p> <h2 id="dónde-ponerlo">¿Dónde ponerlo? </h2><p>Puntos de acceso comunes:</p> <ul> <li>Escanear imágenes durante el desarrollo local;</li> <li>Bloquear vulnerabilidades de alto riesgo en CI;</li> <li>Escaneo regular del almacén de espejos;</li> <li>Verifique YAML antes de la implementación de Kubernetes;</li> <li>Generar SBOM para auditoría o uso de seguridad de la cadena de suministro;</li> <li>Escanee Secretos en el repositorio de códigos con regularidad.</li> </ul> <p>Lo peor de un análisis de seguridad es que sólo se ejecuta una vez. Un mejor enfoque es ponerlo en proceso, continuar escaneando y continuar reparando.</p> <h2 id="a-qué-debes-prestar-atención-al-usarlo">¿A qué debes prestar atención al usarlo? </h2><p>Trivy le informará los riesgos, pero no tomará decisiones de riesgo por usted:</p> <ul> <li>La posibilidad de explotar la vulnerabilidad depende del entorno operativo;</li> <li>La versión básica de la imagen debe actualizarse periódicamente;</li> <li>Se pueden establecer estrategias de bloqueo para vulnerabilidades de alto riesgo;</li> <li>Las alarmas falsas y de bajo riesgo deben gestionarse por excepción;</li> <li>El secreto debe rotarse inmediatamente después de que se golpee el Secreto;</li> <li>SBOM no es una decoración de cumplimiento y debe poder rastrear el origen de las dependencias.</li> </ul> <p>No trate los informes de escaneo como KPI. Lo realmente valioso es reparar los circuitos cerrados.</p> <h2 id="resumen">Resumen </h2><p>Trivy es un cuchillo muy práctico en DevSecOps. No es complicado, pero tiene una amplia cobertura y es adecuado para el acceso gradual desde proyectos personales hasta líneas de montaje empresariales.</p> <p>Si está implementando contenedores o servicios de Kubernetes, al menos debe incluir Trivy en su proceso de compilación y lanzamiento.</p> <h2 id="fuentes-de-referencia">Fuentes de referencia </h2><ul> <li><a class="link" href="https://github.com/aquasecurity/trivy" target="_blank" rel="noopener" >acuaseguridad/trivy - GitHub</a></li> </ul>