Co-escrito com Viktor Kartashov.
A norma NIST SP 800–190 fornece diretrizes estruturadas para proteger aplicações em contêineres, abrangendo desde a procedência da imagem até os controles de tempo de execução. À medida que o uso de contêineres aumenta exponencialmente em ambientes de DevOps acelerados, o alinhamento com esses requisitos torna-se essencial e desafiador.
Mas SP 800–190 aqui é apenas um caso de uso. A ideia maior é trazer validação contínua, assinada e de política como código em seus pipelines de CI/CD, independentemente da estrutura de segurança.
A maioria das equipes ainda trata a conformidade como uma atividade de estágio final — atrasada, frágil e dissociada do desenvolvimento. Mas e se cada imagem, cada RP, cada tag fosse continuamente validada em relação às políticas de segurança?
O Desafio: Conformidade Consistente em um SDLC Rápido
O desafio é que, embora o SP 800–190 diz a você o que proteger — fornece orientação clara e categorias como Contramedidas de Imagem, o verdadeiro obstáculo é como traduzir essas diretrizes de alto nível em verificações concretas e acionáveis, como aplicá-los de forma consistente, e como provar que você fez. É precisamente aqui que nossas ferramentas contínuas de governança e conformidade do SDLC entra em cena, transformando a conformidade de um fardo manual em um processo automatizado e verificável.
Em vez de depender de scripts frágeis e únicos ou de varreduras pós-implantação em estágio avançado, Abordagem do escriba traz controles de segurança estruturados e executáveis diretamente para o centro do seu Ciclo de Vida de Desenvolvimento de Software (SDLC). Fazemos isso perfeitamente usando Ações do GitHub, Valint e Sigstore, permitindo que você:
- Defina suas políticas de segurança como código, tornando-os administráveis.
- Automatizar verificações diretamente dentro dos seus fluxos de trabalho de desenvolvimento.
- Assine criptograficamente e armazene com segurança todas as evidências de segurança.
- Obtenha rastreabilidade e auditabilidade completas para cada artefato, desde a solicitação de pull até a produção.
O núcleo da nossa solução: política como código com Valint
No centro de A solução poderosa do Scribe encontra-se um arquivo de iniciativa declarativa. Ele mapeia perfeitamente as diretrizes e controles abstratos do SP 800–190 (como aqueles em “Contramedidas de Imagem”) para regras concretas e executáveis. É aqui que suas políticas de segurança se tornam verdadeiramente código, aplicadas por Valint. Para um mergulho mais profundo em como mecanismos de políticas como o Valint organizam seus esforços de conformidade, recomendamos que você leia nossa postagem anterior, “Do Caos à Clareza: Navegando no Mecanismo de Políticas para Conformidade”.
Exemplo: Veja como as contramedidas específicas de imagem são definidas dentro da sua iniciativa Valint:
controles:
– nome: “4.1 CONTRAMEDIDAS DE IMAGEM”
regras:
– usos: sarif/trivy/blocklist-cve@v2/rules
nome: “4.1.1 Vulnerabilidades de alto perfil”
– usos: imagens/verificar-rótulos@v2/regras
nome: “4.1.3 Rótulos de imagem obrigatórios”
– usos: imagens/imagem-base-permitida@v2/regras
nome: “4.1.5 Imagens de Base Aprovadas”
A flexibilidade aqui é imensa: enquanto nossa demonstração usa sp-800-190.yaml, Valint permite que você o substitua facilmente, personalize-o ou adicione suas próprias iniciativas, seja com base em benchmarks do CIS, diretrizes organizacionais internas ou políticas totalmente personalizadas.
Para obter informações mais detalhadas sobre definir e utilizar iniciativas específicas, consulte nossa documentação. Você também pode explorar nosso guia de alto nível sobre como implementar iniciativas de SDLC aqui.
A história de um desenvolvedor: conformidade em tempo real em solicitações de pull
Então, como isso se parece para os desenvolvedores? No momento em que um A solicitação de pull é aberta, o pipeline de CI entra em ação automaticamente, orquestrando uma série de verificações de segurança vitais.
Em primeiro lugar, o Fase de construção começa, onde a imagem é construída e metadados cruciais são coletados diretamente do Dockerfile. Em seguida, um Geração SBOM passo cria um detalhado CycloneDX SBOM, rastreando meticulosamente pacotes e camadas de imagem base para transparência total. Em seguida, um Análise de Vulnerabilidade é realizado para produzir um relatório abrangente no formato SARIF. Finalmente, Avaliação da política assume o centro do palco como Valint verifica rigorosamente todas as evidências acumuladas em relação à sua iniciativa SP 800–190 predefinida.
Se alguma violação for descoberta — talvez um CVE com gravidade superior a 8.5 — seu pipeline será configurado para bloquear a PR imediatamente ou emitir um aviso em destaque. A melhor parte? Um resumo conciso das descobertas é anexado diretamente à visualização de PR do GitHub. fornecer aos desenvolvedores feedback imediato e prático. Isso os capacita a abordar questões de segurança de forma proativa, exatamente onde trabalham.

Scribe UI: Limpar a visualização de violações de política
Exemplo: Resumo da verificação de RP do GitHub: feedback imediato do desenvolvedor
– nome: Coletar evidências e avaliar políticas
usos: scribe-security/action-verify@master
com:
alvo: minha_empresa/minha-imagem:v1.0.0
bom: true # Gerar SBOM para o alvo
entrada: trivy:trivy-report.json # Gerar evidências para o relatório trivy
base-image: Dockerfile # Gerar evidência de imagem base
iniciativa: sp-800-190@v2 # Avaliar Iniciativa
formato de entrada: atestar
formato: atestar
Artefatos como SBOMs, resultados de varredura e a saída da política podem, é claro, ser opcionalmente retidos como artefatos de pipeline para inspeção ainda mais profunda ou arquivamento de conformidade.
The Release Gate: Conformidade Verificável por Meio de Evidências Assinadas
Após a fusão bem-sucedida de uma solicitação de pull, a jornada continua até o pipeline de liberação, onde a imagem passa por uma validação final e crítica de acordo com as mesmas regras SP 800–190. Não se trata apenas de uma repetição; é o portal para a implantação. Nesta fase crucial, o Plataforma ScribeHub foca na criação prova verificável de conformidade, garantindo que cada divulgação não seja apenas segura, mas comprovadamente confiável por meio de evidências abrangentes e assinadas.
Seja uma aprovação ou uma falha, O ScribeHub mantém total transparência e rastreabilidade. Crucialmente, todas as evidências — incluindo o resultado detalhado da política — são carregadas em um armazenamento seguro e assinadas criptograficamente (por exemplo, via Sigstore, x.509 ou KMS). Isso garante que cada resultado seja imutável e verificável, fornecendo um registro completo para auditoria e confiança, não importa o que a avaliação mostre.
Esses resultados de políticas SARIF assinados, SBOMs e saídas de varredura tornam-se ativos inestimáveis para:
- Trilhas de auditoria robustas: Fornecendo provas inegáveis de conformidade.
- Atestado de Liberação Confiável: Confirmando a postura de segurança dos seus artefatos implantados.
- Integrações perfeitas de controle de admissão do Kubernetes: Habilitando portas automatizadas antes que as imagens sejam executadas em seus clusters.
Na interface do usuário do ScribeHub, quaisquer violações são claramente marcadas e cada evidência assinada é meticulosamente rastreável, diretamente vinculada ao resultado da iniciativa que a produziu. Isso oferece clareza e confiança incomparáveis na segurança da sua cadeia de suprimentos.

Vulnerabilidades agregadas de SBOM e Scan

Scribe UI: Evidências Rastreáveis e Assinadas
Veja nossa solução em ação: o pipeline de demonstração
Você leu como nossas ferramentas de conformidade contínua dá vida ao SP 800–190. Agora, veja você mesmo! Criamos um tutorial prático repositório de demonstração que mostra exatamente como Valint e Sigstore trabalhar juntos nos fluxos de trabalho de RP e de lançamento.
Explore o código de demonstração aqui: scribe-public/demo-pipeline
Este repositório contém dois fluxos de trabalho essenciais do GitHub Actions, sp800-190-policy-pr.yml
e sp800-190-policy-release.yml
, que demonstram visualmente o feedback imediato para os desenvolvedores e as evidências criptograficamente assinadas para o lançamento, conforme descrito ao longo deste post.
Este conteúdo é oferecido a você pela Scribe Security, um fornecedor líder de soluções de segurança de cadeia de suprimentos de software ponta a ponta – fornecendo segurança de última geração para artefatos de código e processos de desenvolvimento e entrega de código em todas as cadeias de suprimentos de software. Saiba mais.