Pipelines a tope. Construyendo imágenes. Y zas — Trivy escupe una CVE crítica de tu base Alpine, justo cuando vas a pushear a producción.
GitLab Container Scanning no se queda callado. Viene integrado en su CI/CD, escanea imágenes en pleno pipeline con cinco enfoques a medida (aunque la documentación destaca la plantilla principal del trabajo). La versión gratuita trae lo esencial; Ultimate desata todo el potencial. Hablamos de seguridad shift-left que pilla la podredumbre en imágenes base, exploits en paquetes, bombas en dependencias —antes que los atacantes.
Por qué el escaneo de contenedores de GitLab pega diferente en 2024
Mira, las vulnerabilidades en contenedores explotaron después de Log4Shell. ¿Te acuerdas de 2021? La mitad de internet entró en pánico cuando dependencias de Java se convirtieron en puertas traseras. GitLab aprendió la lección: su escaneo no es un parche. Usa Trivy por debajo, se activa solo en builds, bloquea despliegues si configuras bien los umbrales. Dato de mercado: Gartner calcula que las herramientas SCA superarán los 2.000 millones de dólares para 2025, con GitLab quitándole tajada a Snyk y Aqua en DevOps.
Pero aquí va mi visión: la integración en MR convierte la seguridad de “problema del equipo de sec” en un widget para cada dev. Nada de cadenas de emails. Un clic, detalles de la vulnerabilidad, enlaces para arreglarla. Es como terminales de Bloomberg para revisiones de código: datos densos, accionables.
GitLab usa el escáner de seguridad Trivy para analizar imágenes de contenedores en busca de vulnerabilidades conocidas. Cuando corre tu pipeline, el escáner examina las imágenes y genera un informe detallado.
Eso sale directo de su documentación. Directo. Sin vueltas.
En resumen: actívalo, escanea todo.
Activa el escaneo de contenedores en GitLab — Dos caminos, cero líos
Opción uno: modo genio perezoso. Ve a Secure > Configuración de seguridad, haz clic en “Container Scanning”, elige merge request. ¡Pum! — GitLab genera un MR con el include en .gitlab-ci.yml: template: Jobs/Container-Scanning.gitlab-ci.yml. Fusióname. Listo.
¿Manual? Mismo include en tu YAML. Ajusta CS_IMAGE para escaneos personalizados (myregistry.com/myapp:latest), o CS_SEVERITY_THRESHOLD: “HIGH” para ignorar fruta fácil. Los pipelines se relanzan, los informes caen en los MR.
Hemos visto equipos recortar semanas en la triaje de vulnerabilidades así. Las cifras no mienten: GitLab reporta fixes 40% más rápidos en usuarios Ultimate. ¿Gratis? Aún supera al docker scout manual.
Y sí, está segmentado por tiers. Premium suma informes; Ultimate, sugerencias automáticas de remediación. Upsell inteligente — te obliga a pagar por el pulido.
¿Pilla el escaneo de contenedores de GitLab a los fantasmas de producción?
Primero los widgets de MR. Baja hasta Security Scanning en cualquier MR: vulnerabilidades nuevas brillan en rojo, barras de severidad, desgloses por paquete. Haz clic — diffs de capas, rutas de exploit. Los devs arreglan en plena revisión; nada se escapa a prod.
Acércate más: Vulnerability Report en Security & Compliance. Agregados por branches. Filtros por imagen, severidad, estado. Asigna, comenta, enlaza issues. Es un mataviejas para Jira en equipos de sec.
¿Dependency List? Paraíso SBOM. Cada paquete inventariado. Traza esa dependencia Node hasta la raíz de la vulnerabilidad. En un mundo con miedos a SolarWinds 2.0, esta transparencia no se negocia.
Hora de crítica: GitLab lo pinta como “suave”. Realidad: informes del tier gratuito son básicos — sin tendencias históricas. Ahí brilla Ultimate, vendiendo seguridad como SaaS premium.
Mi apuesta fuerte: para 2026, GitLab bundleará remediaciones priorizadas por IA. ¿Trivy + GitLab Duo? Los ataques a la cadena de suministro caen 60% en quienes lo adopten. Paralelo histórico: Heartbleed mató el parcheo manual; GitLab revive la higie
