Use este identificador para citar ou linkar para este item:
https://repositorio.ifgoiano.edu.br/handle/prefix/6028| Tipo: | Trabalho de Conclusão de Curso |
| Título: | SEGURANÇA EM DOCKER: AÇÕES QUE COMPROMETEM IMAGENS SELADAS E AVALIAÇÃO DE FERRAMENTAS DE DETECÇÃO |
| Autor(es): | Gomes, Eric Ferreira |
| Primeiro Orientador: | Gonçalves, Roitier Campos |
| Resumo: | Docker é uma ferramenta de conteinerização que se popularizou entre os desenvolvedores devido sua portabilidade e segurança. A ferramenta utiliza imagens que estão disponíveis no Docker Hub, que podem possuir selos que garantem a segurança e identificam de qual projeto ela pertence. Mesmo que essas imagens possuem segurança base inicial garantida, os usuários utilizam elas ignoram suas limitações de segurança. Essas vulnerabilidades são criadas a partir de má utilização da ferramenta, dessa maneira, tornando elas inseguras e inapropriadas para se adequar às leis como a LGPD e conformidade com a ISO 27001. Sendo assim, existem algumas ferramentas open source como Syft e Grype, Trivy junto com a ferramenta Docker Scout, uma ferramenta própria do Docker, que podem escanear os containers em busca dessas vulnerabilidades. Essas ferramentas realizam varreduras nos containers e comparações com bases de dados de vulnerabilidades comuns, em busca das falhas mencionadas, expondo os resultados na tela. Sendo assim, é possível realizar uma comparação de resultados e analisar qual ferramenta seria mais eficiente e eficaz para identificação dessas falhas. Entretanto, é possível observar que os resultados demonstram alguns cenários que criam um conclusão que a utilização das ferramentas em conjunto se demonstra mais eficiente para identificar vulnerabilidades em pacotes e para falhas de boas práticas demonstra a necessidade de atenção para a temática e reforça a necessidade de melhorias que abrangem essas falhas nas ferramentas de escaneamento. Visto que, os scanners podem auxiliar na conformidade com a ISO e comprimento da LGPD. Este trabalho ainda abre a possibilidade de um futuro estudo para identificar qual ferramenta dessas mencionadas é a mais eficiente, já que, este trabalho não possui este objetivo nessa temática. |
| Abstract: | Docker is a containerization tool that has become popular among developers due to its portability and security. The tool uses images available on Docker Hub, which may have security seals that guarantee security and identify the project to which they belong. Even though these images have guaranteed initial security, users often ignore their security limitations. These vulnerabilities are created from misuse of the tool, making them insecure and unsuitable for compliance with laws such as the LGPD (Brazilian General Data Protection Law) and ISO 27001. Therefore, there are some open-source tools like Syft and Grype, Trivy, along with Docker Scout, a Docker-specific tool, that can scan containers for these vulnerabilities. These tools scan containers and compare them with databases of common vulnerabilities, searching for the mentioned flaws and displaying the results on the screen. Thus, it is possible to compare results and analyze which tool would be most efficient and effective in identifying these flaws. However, it is possible to observe that the results demonstrate some scenarios that lead to the conclusion that using the tools together is more efficient for identifying vulnerabilities in packages and for addressing failures in best practices. This highlights the need for attention to this issue and reinforces the need for improvements that address these flaws in scanning tools. Given that scanners can assist in compliance with ISO standards and the LGPD (Brazilian General Data Protection Law), this work also opens the possibility for a future study to identify which of these mentioned tools is the most efficient, as this work does not have this objective within this context. |
| Palavras-chave: | Segurança em Containers Escaneamento de Vulnerabilidades Varredura de Segurança Falhas de Configuração Container Security Vulnerability Scanning Security Scanning Configuration Flaws |
| Área do CNPq: | CIENCIAS EXATAS E DA TERRA::CIENCIA DA COMPUTACAO::SISTEMAS DE COMPUTACAO |
| Idioma: | por |
| Pais: | Brasil |
| Editor: | Instituto Federal Goiano |
| Sigla da Instituição: | IF Goiano |
| Campus: | Campus Ceres |
| Tipo de Acesso: | Acesso Aberto |
| URI: | https://repositorio.ifgoiano.edu.br/handle/prefix/6028 |
| Data do documento: | 1-Dez-2025 |
| Aparece nas coleções: | Bacharelado em Sistemas de Informação |
Arquivos associados a este item:
| Arquivo | Descrição | Tamanho | Formato | |
|---|---|---|---|---|
| tcc_Eric Ferreira Gomes.pdf | 1,22 MB | Adobe PDF | Visualizar/Abrir |
Os itens no repositório estão protegidos por copyright, com todos os direitos reservados, salvo quando é indicado o contrário.