As conversas com nossos clientes revelam uma frustração crescente: imagens de contêiner com um alto número de vulnerabilidades conhecidas (CVEs), mesmo quando usadas versões oficiais e atualizadas. O volume é tão alto a ponto de tornar quase impossível qualquer iniciativa de gerenciar ou mitigar os riscos encontrados.

No último ano, nosso trabalho com Zora ajudou a expor a escala do problema. Também deixou claro que ter visibilidade não é suficiente. As dificuldades para remediar vulnerabilidades são inúmeras, enquanto o número continua crescendo. Esse cenário acaba reforçando a percepção de que a gestão da segurança é algo distante ou quase utópico, expondo as empresas a riscos ainda maiores.

Alguns dos desafios recorrentes em nossas conversas:

• Vulnerabilidades em excesso, mesmo em imagens oficiais. No nosso dia a dia prestando suporte Kubernetes, vemos isso de perto. Imagens populares frequentemente carregam centenas de CVEs. Enquanto escrevíamos este artigo, verificamos uma imagem Node amplamente usada e encontramos 1246 vulnerabilidades. 

  
  

node:latest (debian 12.9)
Total: 1246 (UNKNOWN: 6, LOW: 640, MEDIUM: 491, HIGH: 103, CRITICAL: 6)

• Priorização ajuda, mas não resolve o problema. Ferramentas como Prisma Cloud e Kubescape classificam vulnerabilidades e mostram quais endereçar primeiro, mas isso não reduz a quantidade de CVEs que as equipes precisam lidar. Mesmo com priorização, o backlog continua enorme.

• Desenvolvedores são forçados a corrigir vulnerabilidades além de suas tarefas principais. As abordagens shift-left ajudam, mas com um número alto de falhas a resolver, acabam atrasando o desenvolvimento em vez de fortalecer a segurança. Outro fenômeno que encontramos aqui foi de aprovar um deploy mesmo com uma vulnerabilidade crítica pois o determinada funcionalidade precisava ser entregue.

  
  

• Falta de um responsável claro. Na maioria das empresas, não há uma única equipe responsável pela gestão de CVEs. Segurança, DevOps, DevSecOps e infraestrutura compartilham essa função, mas sem uma liderança definida, deixando muitas vulnerabilidades sem tratamento.

Essa realidade nos levou a repensar a forma como a gestão de CVEs deve funcionar.

Eliminando CVEs na Origem: Nossa abordagem para gestão de vulnerabilidades

Em vez de criar mais ferramentas para detectar vulnerabilidades, escolhemos eliminá-las na origem. Nossa solução tem reduzido em 90% o volume de CVEs, diminuindo a sobrecarga nas equipes e mudando a percepção sobre segurança e gestão de vulnerabilidades.

Os primeiros testes com empresas confirmam esse impacto, elas estão vendo uma redução drástica no número de CVEs. Menos tempo gasto em triagem e correção de CVEs significa menos atrasos, entregas mais rápidas e uma segurança que não interfere na produtividade.

Aproveitamos as lições aprendidas com o Zora e o feedback direto de nossos clientes para garantir que essa solução resolva não apenas o problema técnico, mas também as dificuldades operacionais que fazem com que a gestão de vulnerabilidades seja vista como um desperdício de tempo e recursos.

Princípios Fundamentais em Nossa Abordagem

• Redução de Ruído: Em vez de sobrecarregar as equipes com alertas, eliminamos vulnerabilidades antes que cheguem ao seu ambiente.

• Remediação Simplificada: A gestão de CVEs é um trabalho repetitivo e constante. Nossa solução automatiza atualizações e correções, reduzindo o esforço manual e garantindo que as falhas sejam resolvidas sem interromper o desenvolvimento.

• Segurança Proativa: Evitamos que vulnerabilidades cheguem à produção, em vez de reagir depois que elas já estão no ambiente. Isso reduz riscos, mantém os fluxos de trabalho organizados e evita interrupções desnecessárias.

Desafio Aceito? Participe Conosco

Ainda não estamos compartilhando todos os detalhes, mas na Getup, assumimos o desafio da gestão de CVEs e criamos uma solução baseada nas dificuldades reais que ouvimos de equipes como a sua. Se a gestão de CVEs está consumindo tempo do seu time, queremos ouvir sua opinião. Se sua empresa ainda não tem definido um processo para gestão de CVEs, também queremos ouvir sua opinião e ajudá-lo a dar esse importante passo. 

Lançamos uma versão inicial da nossa solução, que está rodando com empresas selecionadas. Agora, estamos expandindo o acesso por meio do nosso Programa de Acesso Antecipado.

No programa você ganha:

• Acesso a solução antes do lançamento oficial.

• Influenciar o produto com feedback baseado no seu uso.

• Suporte direto da nossa equipe de engenharia. 

Se a gestão de CVEs em imagens de contêiner é um problema para o seu time, [inscreva-se aqui] para participar do programa e ver como estamos tornando a segurança mais simples e eficaz.