Red Hat propone ignorar la mitad de las alertas de vulnerabilidades, pero hacerlo con criterio
Un nuevo enfoque promete ahorrar trabajo a los equipos sin convertir la seguridad en una formalidad.
Red Hat propuso reducir la fatiga de los equipos de seguridad ante el flujo infinito de CVE mediante imágenes de contenedor más "reducidas" y la integración con Anchore — una plataforma para verificar la seguridad de la cadena de suministro de software. Anchore analiza imágenes de contenedor, genera la SBOM, busca vulnerabilidades y ayuda a entender qué problemas afectan realmente a una compilación concreta.
La idea de Red Hat es simple: cuanto menos componentes innecesarios formen parte de la base de la aplicación, menos motivos habrá para notificaciones alarmantes, análisis prolongados y correcciones urgentes que no cambian el riesgo real.
La compañía describió un enfoque en el que los equipos pasan del principio de "arreglarlo todo" a evaluar las vulnerabilidades según su importancia. Según Red Hat, los escáneres a menudo detectan problemas en paquetes que no se ejecutan, que están en rutas inaccesibles o que corresponden a componentes cuyo mantenimiento corresponde a otra parte. Como resultado, las colas de tareas crecen y la atención de los especialistas se desvía hacia el ruido en lugar de hacia los problemas realmente peligrosos.
Las Red Hat Hardened Images se construyen como imágenes mínimas de contenedor para entornos de producción, no como una compilación universal para todos los casos. En ellas se mantienen solo los paquetes y binarios necesarios para reducir la superficie de ataque y el número de dependencias. Este enfoque también facilita el trabajo con la SBOM, ya que el inventario de componentes muestra qué elementos el equipo está realmente dispuesto a proteger y monitorear.
Si aparece una nueva CVE, Anchore comprueba si el problema afecta a imágenes concretas. Cuando la vulnerabilidad está ligada a una imagen base de Red Hat Hardened Image, el sistema puede enviar una notificación para descargar una versión actualizada desde el repositorio de Red Hat.
Si el riesgo surge por un componente añadido por el desarrollador, la alerta se envía a sus herramientas de desarrollo. Ese mecanismo ayuda a dirigir las tareas a quienes realmente pueden resolver el problema.
Anchore también puede aplicar políticas y prohibir el uso de imágenes de terceros o externas en lugar de las Red Hat Hardened Images. Antes de promoverlas al registro o desplegarlas, las imágenes se verifican para comprobar el cumplimiento con NIST 800-53, NIST 800-190 y FedRAMP. La SBOM se conserva para auditorías e informes, incluidos los escenarios relacionados con nuevos requisitos regulatorios, como la CRA.
En Red Hat consideran que un único escaneo no resuelve el problema de las imágenes base sobrecargadas. La compañía apuesta por reducir los hallazgos innecesarios antes de que aparezcan, y Anchore asume la segunda parte de la tarea: la verificación continua, el control de políticas y la confirmación del cumplimiento de los requisitos.