Featured image of post Seguridad en contenedores: Mejores prácticasFeatured image of post Seguridad en contenedores: Mejores prácticas

Seguridad en contenedores: Mejores prácticas

Container security scanning with Trivy and Snyk, Dockerfile best practices, minimal base images, secrets management, cosign signing, and CI/CD integration.

La seguridad en contenedores abarca desde la imagen base hasta la configuración de runtime. Un contenedor inseguro compromete todo el host.

Imágenes base

Usa imágenes oficiales y actualizadas. Prefiere -slim, -alpine o distroless. Escanea vulnerabilidades con docker scout o trivy.

Principio de mínimos privilegios

No ejecutes como root: USER nobody en Dockerfile. Capacidades de Linux mínimas: --cap-drop ALL --cap-add NEEDED. Modo de solo lectura: --read-only.

Secrets y variables

Nunca incluyas secretos en la imagen. Usa --secret de BuildKit para construir, y variables de entorno o montajes de secretos para ejecutar.

Runtime

Actualiza el engine y las imágenes regularmente. Usa docker scan o trivy en CI. Límites de recursos: --memory, --cpus. No expongas el socket de Docker.