Pipeline moendo. Builds de imagens. Aí — bum — o Trivy cospe um CVE crítico da base Alpine, bem na hora de empurrar pro prod.
GitLab Container Scanning não deixa isso passar batido. Tá embutido no CI/CD deles, varrendo imagens no meio do pipeline com cinco abordagens sob medida (embora a doc destaque o template principal do job). Plano grátis dá o básico; Ultimate libera o arsenal completo. Tô falando de segurança shift-left que pega podridão na base da imagem, exploits em pacotes, bombas de dependências — antes dos hackers.
Por Que o GitLab Container Scanning É Outro Nível em 2024
Olha, vulnerabilidades em contêineres explodiram depois do Log4Shell. Lembra 2021? Metade da internet em polvorosa com dependências Java virando portas dos fundos. GitLab sacou: a varredura não é um extra. É Trivy rodando nos bastidores, ativando automático nos builds, bloqueando deploys se você calibrar os thresholds direito. Fato de mercado: Gartner prevê SCA tools faturando mais de US$ 2 bi até 2025, com GitLab roubando fatia DevOps de Snyk e Aqua.
Mas minha visão afiada: a integração com MRs transforma segurança de “problema da equipe de sec” em widget de todo dev. Chega de correntes de e-mail. Um clique, detalhes da vuln, links pra corrigir. É tipo terminal Bloomberg pra code review: dados densos, acionáveis.
GitLab usa o scanner de segurança Trivy pra analisar imagens de contêiner em busca de vulnerabilidades conhecidas. Quando seu pipeline roda, o scanner examina as imagens e gera um relatório detalhado.
Trecho direto da doc deles. Direto. Sincero.
Resumo: ativa e varre tudo.
Como Ativar o GitLab Container Scanning — Duas Formas, Zero Drama
Opção um: modo preguiçoso genial. Vai em Secure > Security configuration, clica “Container Scanning”, escolhe merge request. Prontinho — GitLab gera um MR com o include no .gitlab-ci.yml: template: Jobs/Container-Scanning.gitlab-ci.yml. Merge. Fim.
Manual? Mesma include no seu YAML. Ajusta CS_IMAGE pra scans customizados (myregistry.com/myapp:latest), ou CS_SEVERITY_THRESHOLD: “HIGH” pra ignorar frutas baixas. Pipelines rodam de novo, relatórios caem nos MRs.
Times cortam semanas no triage de vulns assim. Números não mentem: GitLab diz que usuários Ultimate corrigem 40% mais rápido. Grátis? Ainda bate docker scout manual.
E sim, é por tier. Premium dá relatórios; Ultimate, dicas de remediação auto. Upsell esperto — te obriga a pagar pelo acabamento.
O GitLab Container Scanning Pega Fantasmas de Prod?
Widgets de MR na frente. Rola pra Security Scanning em qualquer MR: vulns novas piscam vermelho, barras de severidade, breakdown de pacotes. Clica — diffs de layers, caminhos de exploit. Devs corrigem na review; nada escapa pro prod.
Amplia: Vulnerability Report em Security & Compliance. Agrega por branches. Filtra por imagem, severidade, status. Atribui, comenta, linka issues. É matador de Jira pra equipes de sec.
Dependency List? Paraíso SBOM. Todo pacote inventariado. Rastreia aquela dep Node até a raiz da vuln. Num mundo com medo de SolarWinds 2.0, essa transparência é obrigatória.
Hora da crítica: GitLab vende como “suave”. Realidade? Relatórios grátis são básicos — sem trends históricos. Ultimate é onde a mágica do mercado brilha, precificando segurança como SaaS premium.
Minha aposta ousada: até 2026, GitLab vai bundlear remediações priorizadas por IA. Trivy + GitLab Duo? Ataques na cadeia de suprimentos caem 60% pros adotantes. Paralelo histórico: Heartbleed matou patches manuais; GitLab ressuscita higiene automatizada.
Configs Que Realmente Fazem Diferença
Override CS_IMAGE: varre só candidatos a prod. Economiza ciclos.
Thresholds: “CRITICAL” pra zero tolerância; “MEDIUM” pro equilíbrio.
Variáveis empilham. Jobs paralelos se for Ultimate.
Dica pro: encadeia com SAST/DAST. Stack DevSecOps completo, sem arrependimento de lock-in.
Times relatam 70
