[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"pack-detail-container-security-es":3,"seo:pack:container-security:es":65},{"code":4,"message":5,"data":6},200,"操作成功",{"pack":7},{"slug":8,"icon":9,"tone":10,"status":11,"status_label":12,"title":13,"description":14,"items":15,"install_cmd":64},"container-security","🔒","#991B1B","stable","Estable","Seguridad de Contenedores","Registro Harbor, escáneres Grype + Syft, linter IaC Checkov, CrowdSec, Cilium eBPF — parchea tu cadena antes que otros.",[16,28,36,43,50,57],{"id":17,"uuid":18,"slug":19,"title":20,"description":21,"author_name":22,"view_count":23,"vote_count":24,"lang_type":25,"type":26,"type_label":27},970,"c9f4655f-353d-11f1-9bc6-00163e2b0d79","harbor-cloud-native-trusted-container-registry-c9f4655f","Harbor — Cloud Native Trusted Container Registry","Harbor is a CNCF-graduated open-source container registry that stores, signs, and scans container images. Vulnerability scanning, RBAC, replication, and OCI support.","Script Depot",318,0,"en","skill","Skill",{"id":29,"uuid":30,"slug":31,"title":32,"description":33,"author_name":34,"view_count":35,"vote_count":24,"lang_type":25,"type":26,"type_label":27},1198,"87aec817-372b-11f1-9bc6-00163e2b0d79","grype-container-image-vulnerability-scanner-87aec817","Grype — Container Image Vulnerability Scanner","Grype is a vulnerability scanner for container images and filesystems. It matches installed packages against vulnerability databases (CVE, GHSA) to identify known security issues — essential for securing your container supply chain.","AI Open Source",297,{"id":37,"uuid":38,"slug":39,"title":40,"description":41,"author_name":22,"view_count":42,"vote_count":24,"lang_type":25,"type":26,"type_label":27},1199,"87cf1b00-372b-11f1-9bc6-00163e2b0d79","syft-generate-software-bill-materials-container-images-87cf1b00","Syft — Generate Software Bill of Materials from Container Images","Syft generates Software Bill of Materials (SBOMs) from container images and filesystems. It detects packages across OS and language ecosystems, outputting SPDX, CycloneDX, and custom formats for compliance, vulnerability scanning, and supply chain security.",296,{"id":44,"uuid":45,"slug":46,"title":47,"description":48,"author_name":22,"view_count":49,"vote_count":24,"lang_type":25,"type":26,"type_label":27},1425,"accdd5bb-38fa-11f1-9bc6-00163e2b0d79","checkov-static-security-scanning-iac-containers-accdd5bb","Checkov — Static Security Scanning for IaC and Containers","Checkov is a Bridgecrew static-analysis tool that scans Terraform, CloudFormation, Kubernetes, Helm, Dockerfile, and more for misconfigurations and policy violations before anything is deployed.",311,{"id":51,"uuid":52,"slug":53,"title":54,"description":55,"author_name":34,"view_count":56,"vote_count":24,"lang_type":25,"type":26,"type_label":27},949,"ed64dcb7-34d8-11f1-9bc6-00163e2b0d79","crowdsec-open-source-collaborative-security-engine-ed64dcb7","CrowdSec — Open Source Collaborative Security Engine","CrowdSec is a collaborative security engine that analyzes logs, detects attacks, and shares threat intelligence. Like fail2ban but with crowd-sourced IP reputation and modern architecture.",283,{"id":58,"uuid":59,"slug":60,"title":61,"description":62,"author_name":34,"view_count":63,"vote_count":24,"lang_type":25,"type":26,"type_label":27},969,"30500e42-3535-11f1-9bc6-00163e2b0d79","cilium-ebpf-powered-cloud-native-networking-security-30500e42","Cilium — eBPF-Powered Cloud Native Networking & Security","Cilium provides high-performance networking, observability, and security for Kubernetes using eBPF. CNI plugin, service mesh, and network policy — all kernel-level.",299,"tokrepo install pack\u002Fcontainer-security",{"pageType":66,"pageKey":8,"locale":67,"title":68,"metaDescription":69,"h1":13,"tldr":70,"bodyMarkdown":71,"faq":72,"schema":88,"internalLinks":98,"citations":111,"wordCount":124,"generatedAt":125},"pack","es","Seguridad de Contenedores: Harbor, Grype, Checkov, Cilium","Pack open-source seguridad contenedores: Harbor, escáneres Grype + Syft, linter IaC Checkov, CrowdSec runtime, Cilium eBPF. Instala con TokRepo.","Seis herramientas open-source que cubren las cuatro capas del riesgo de cadena de suministro de contenedores: registro, escaneo de imagen, IaC y runtime. Instalación en un comando con TokRepo CLI.","## Qué incluye este pack\n\nEste pack reúne las **seis herramientas open-source** a las que la mayoría de equipos llegan tras abandonar plataformas comerciales de seguridad de contenedores. Juntas cubren registro de imágenes, escaneo, linting de infraestructura como código y defensa en runtime — las cuatro capas que aparecen en toda postmortem de cadena de suministro.\n\n| # | Recurso | Capa | Por qué está aquí |\n|---|---|---|---|\n| 1 | Harbor | Registro | Registro graduado por CNCF con scan, firma y replicación integrados |\n| 2 | Grype | Scan imagen | Escáner de vulnerabilidades que lee imágenes OCI directamente |\n| 3 | Syft | SBOM | Genera Software Bill of Materials de cualquier imagen o filesystem |\n| 4 | Checkov | IaC | Lintea Terraform, Kubernetes, Helm, CloudFormation con 1000+ políticas |\n| 5 | CrowdSec | Runtime | Detección comportamental + blocklist colaborativa para tráfico vivo |\n| 6 | Cilium | Red | Networking basado en eBPF, NetworkPolicy, observabilidad Hubble |\n\nLa separación importa: registro sin scan es teatro; scan sin SBOM da números CVE pero ninguna superficie de remediación; runtime sin política de red detecta intrusión pero no contiene el radio de explosión.\n\n## Por qué la seguridad de contenedores importa ahora\n\nLa ola de incidentes de cadena 2024-2025 (xz-utils, polyfill.io, gusanos npm) dejó algo concreto: el binario que despliegas es la suma de cada dependencia que no auditaste. Una imagen moderna combina SO base, runtime de lenguaje, capa de aplicación y herramientas de build — cuatro cadenas apiladas. El coste de una transitiva comprometida es el mismo si tienes 5 personas o 5000.\n\nLos escáneres comerciales (Snyk, Wiz, Aqua) funcionan, pero piden $30-100 por nodo al mes y envían telemetría a su nube. El pack open-source aquí entrega:\n\n- **Scan IaC pre-merge** (Checkov en CI atrapa buckets S3 mal configurados, securityContext faltante, secretos expuestos antes del review)\n- **Scan de imagen post-build** (Grype + Syft en cada push a Harbor — falla el build si CVSS ≥ 7)\n- **Defensa runtime** (CrowdSec ingiere logs nginx\u002FTraefik y comparte IPs atacantes con 100k+ peers)\n- **Contención de red** (Cilium NetworkPolicy significa que un pod comprometido no pivota a tu DB)\n\n## Instala en un comando\n\n```bash\n# Instala el pack completo en el proyecto actual\ntokrepo install pack\u002Fcontainer-security\n\n# O elige recursos individuales\ntokrepo install grype\ntokrepo install checkov\n```\n\nEl TokRepo CLI escribe configs de escáner, plantillas de CI y snippets de Helm values en tu repo. Cada página de recurso documenta los flags que Anchore, Bridgecrew, Isovalent y el equipo Harbor recomiendan para producción.\n\n## Errores comunes\n\n- **Escanear solo tags `latest`.** Pin a digests en manifiestos de producción; `latest` deriva y tu historial de scans pierde sentido.\n- **Tratar CVSS como prioridad.** Un CVSS 9.8 en una imagen base solo de dev que nunca expones es menos prioritario que un CVSS 6.5 en tu proxy edge. Combina output de Grype con análisis de alcanzabilidad runtime.\n- **Saltar generación de SBOM.** Cuando aterrice el próximo backdoor estilo xz, los equipos con SBOMs Syft en almacén responden \"¿estamos expuestos?\" en minutos. Sin SBOM, una semana.\n- **Checkov como única gate IaC.** Checkov detecta patrones malos conocidos pero no atrapa lógica de negocio (e.g. rol IAM válido técnicamente pero con demasiados permisos). Empareja con `tfsec` u OPA para segunda pasada.\n- **CrowdSec sin revisar scenarios.** Los scenarios por defecto bloquean atacantes obvios pero pueden falsear con crawlers agresivos. Afina `parsers\u002Fscenarios` o bloquearás tu propio monitoreo.\n\n## Cuándo este pack solo no basta\n\nSi corres Kubernetes a escala, añade **Falco** para detección runtime nivel syscall (es la herramienta runtime original — Tetragon de Cilium ahora se solapa pero el corpus de reglas Falco es mayor). Para secretos específicamente, añade **Vault** o **Infisical** — ninguno está en el pack porque la gestión de secretos es otro problema. Para procedencia de cadena (quién construyó esta imagen, en qué runner), mira **Sigstore** + atestaciones **in-toto**; Harbor soporta cosign signing nativamente, así que el camino es corto.",[73,76,79,82,85],{"q":74,"a":75},"¿Es gratis correr todo el pack?","Sí. Cada herramienta es open source bajo licencias permisivas (Apache 2.0 o MIT). Necesitarás cómputo para Harbor (su almacén escala con cantidad de imágenes) y un Postgres para metadatos Harbor, pero sin licencia por asiento. CrowdSec ofrece tier pago con consola centralizada, pero el agente + blocklists comunitarios son gratis y esa es la parte que carga peso.",{"q":77,"a":78},"¿Cómo se compara con Snyk Container o Wiz?","Snyk y Wiz añaden UI gestionada, priorización CVE curada por el vendor y reportes SOC 2. Este pack da la misma profundidad de scan (la BD vulnerabilidades de Grype viene de los mismos feeds NVD + GHSA) sin coste por nodo, pero el dashboard lo construyes o canalizas a Grafana \u002F DefectDojo. Elige gestionado si reportes de compliance es el cuello; elige este pack si tiempo de ingeniería y self-hosting son más baratos que cuotas por asiento.",{"q":80,"a":81},"¿Funcionará con Claude Code o Cursor para remediación automática?","Sí. Claude Code puede correr `grype \u003Cimage>` y `checkov -d .` directamente, parsear el JSON y proponer parches como PRs. Las páginas de recurso TokRepo incluyen prompts subagente que conectan Grype + Checkov en un comando slash `security-fix`. Usuarios Cursor lo logran vía reglas custom — ambas superficies documentadas por recurso.",{"q":83,"a":84},"¿Qué diferencia a Grype de Syft?","Syft genera un SBOM — el inventario de cada paquete en tu imagen. Grype toma ese SBOM (o escanea una imagen directamente) y empareja cada paquete contra bases de vulnerabilidades. Casi siempre los corres juntos: Syft una vez en build, Grype en schedule contra el SBOM (barato) más en cada push nuevo (atrapa CVEs nuevas en imágenes viejas).",{"q":86,"a":87},"¿Trampa operativa al desplegar Cilium?","Cilium reemplaza kube-proxy por defecto en muchos paths, y migrar desde un cluster en marcha requiere cuidado — la resolución DNS puede romperse durante el cutover si pods hostNetwork no se contemplan. Usa modo `--kube-proxy-replacement=partial` primero, valida con `cilium connectivity test`, luego pasa a `strict`. No expongas Hubble UI en ingress público sin auth delante.",{"@context":89,"@type":90,"name":91,"description":92,"numberOfItems":93,"publisher":94},"https:\u002F\u002Fschema.org","CollectionPage","Container Security","Open-source registry, vulnerability scanners, IaC linter and runtime defense for the container supply chain.",6,{"@type":95,"name":96,"url":97},"Organization","TokRepo","https:\u002F\u002Ftokrepo.com",[99,103,107],{"url":100,"anchor":101,"reason":102},"\u002Fes\u002Fpacks\u002Fpostgres-for-agents","Postgres para Agentes IA","capa de datos junto a contenedores endurecidos",{"url":104,"anchor":105,"reason":106},"\u002Fes\u002Fpacks\u002Fworkflow-orchestration","Orquestación de Flujos","los escaneos se ejecutan como pipelines programados",{"url":108,"anchor":109,"reason":110},"\u002Fes\u002Ftools\u002Fclaude-code","Claude Code","el agente que conduce el bucle escaneo + parche",[112,116,120],{"claim":113,"source_name":114,"source_url":115},"Harbor is a CNCF graduated project providing a secure registry for container images and artifacts","Harbor (CNCF)","https:\u002F\u002Fgoharbor.io",{"claim":117,"source_name":118,"source_url":119},"Grype scans container images and filesystems for vulnerabilities; Syft generates SBOMs","anchore\u002Fgrype","https:\u002F\u002Fgithub.com\u002Fanchore\u002Fgrype",{"claim":121,"source_name":122,"source_url":123},"Cilium provides eBPF-based networking, observability, and security for cloud-native workloads","cilium\u002Fcilium","https:\u002F\u002Fgithub.com\u002Fcilium\u002Fcilium",670,"2026-05-02T15:00:00Z"]