Imágenes Docker endurecidas: versiones fijas, capas mínimas, menos espacio para sangrar
Docker publicó una guía para imágenes endurecidas — del tipo que fija sus dependencias, corre como usuario no-root, y salta las capas base gordas. La idea es sencilla: reducir la superficie de ataque dándole a la imagen menos piezas móviles y menos lugares donde esconder una vulnerabilidad.
¿Qué las diferencia de las imágenes normales? Primero, las versiones están bloqueadas — no hay una etiqueta "latest" que sin avisar traiga un cambio que rompe todo. Segundo, la base es liviana — Alpine o distroless, no una distro Linux completa con una docena de librerías que no usas. Tercero, el contenedor corre como usuario no-root, así que incluso si explotan una vulnerabilidad, es más difícil que se lleven todo el sistema. Y cuarto, el escaneo de vulnerabilidades viene de fábrica, así que atrapas los CVEs conocidos antes de que aparezcan en un reporte de brecha.
Esto importa porque ahora casi todas las apps corren en contenedores, y la historia de seguridad vive en la imagen. Cuando tu imagen está llena de librerías sin parchear y corre como root, un solo zero-day puede llegar al kernel. Las imágenes endurecidas no eliminan el riesgo — solo hacen que las probabilidades trabajen a tu favor. La migra app, el negocio de la prima, la tienda de Facebook de la tía — si corre en contenedores, corre con o sin la armadura.
Por qué nos importa: cuando tu stack de despliegue está blindado, la próxima brecha que salga en las noticias tiene menos de lo que puede morderse en tus márgenes y en tu sueño.
“Reduce la superficie de ataque. Menos piezas móviles. Menos lugares donde esconder una vulnerabilidad.”