Última atualização: 23 de maio de 2026
Vulnerabilidades
A Guara Cloud verifica automaticamente toda imagem de container usada pelos seus serviços em busca de vulnerabilidades conhecidas (CVEs reportadas contra os pacotes de sistema operacional e dependências de linguagem dentro da imagem) e mostra os resultados em dois lugares:
- Página de vulnerabilidades de toda a conta em
/security/vulnerabilities. - Aba Vulnerabilidades em cada página de detalhes de serviço.
O que é verificado
Toda imagem de container que sustenta um dos seus serviços é verificada automaticamente:
- Serviços de aplicação construídos do seu código-fonte ou publicados como imagens Docker.
- Serviços do catálogo (Postgres, Redis, NATS gerenciados e outras ofertas do catálogo). O Guara verifica as imagens do catálogo para você ver a quê suas dependências estão expostas, mesmo sem gerenciar o conteúdo delas diretamente.
As verificações rodam quando uma nova imagem é observada e em cadência regular depois disso, então CVEs recém-publicadas são refletidas sem precisar redeployar.
O que você vê
Cada linha de vulnerabilidade mostra:
| Campo | Descrição |
|---|---|
| ID da CVE | O identificador canônico (ex.: CVE-2025-12345). |
| Severidade | Mapeada por CVSS: crítica, alta, média, baixa, desconhecida. |
| Pacote | O pacote afetado e a versão dentro da imagem. |
| Corrigido em | A versão corrigida, se houver uma disponível upstream. |
| Serviços afetados | Quais dos seus serviços rodam esta imagem e estão portanto expostos. |
| Visto primeiro | Quando esta CVE apareceu pela primeira vez na sua conta. |
Você pode filtrar por severidade, por serviço e por disponibilidade de correção, útil para triar “o que posso de fato corrigir hoje?” vs. “o que está pendente de upstream?”
Visão de toda a conta
A página de toda a conta agrega cada CVE em todos os serviços. Use para respostas de visão geral:
- “Quantas CVEs críticas eu tenho agora?”
- “Quais serviços têm mais CVEs sem patch?”
- “Quais CVEs têm correção disponível mas não foi feito deploy?”
É a maneira mais rápida de ver o estado da segurança de containers da conta inteira em um só lugar.
Visão por serviço
Cada página de detalhes de serviço tem sua própria aba Vulnerabilidades, restrita à imagem atual daquele serviço. É a superfície certa quando você está investigando um serviço ou antes de fechar um release.
A aba gratuita Vulnerabilidades na página do serviço é preservada exatamente. O Guara Shield não a renomeia, restringe ou esconde.
Como vulnerabilidades se relacionam com achados
Cada vulnerabilidade material também abre um Achado de Segurança, com a mesma severidade, o mesmo ciclo de vida e as mesmas ações de triagem:
- Reconheça uma CVE conhecida que você ainda não consegue corrigir.
- Suprima até uma data em que você espera correção do fornecedor.
- Resolva automaticamente quando uma verificação posterior confirmar que a correção foi aplicada.
- Marque como falso positivo se a CVE não se aplica ao seu uso.
Isso significa que as superfícies de vulnerabilidades e a caixa de entrada unificada de achados ficam em sincronia, você pode triar uma CVE de qualquer um dos lugares.
Quando o Shield adiciona correlação (uma CVE crítica em um serviço que está publicamente exposto, por exemplo), o achado relacionado refletirá o contexto elevado. A linha base da CVE permanece informativa; o achado te diz “este aqui importa mais agora”.
O que verificamos
- CVEs de pacotes de SO, vulnerabilidades na camada de pacotes da imagem base (Debian, Alpine, Ubuntu, RHEL UBI, variantes distroless quando aplicável).
- Dependências de ecossistemas de linguagem, manifestos npm, pip, Maven, Go module, RubyGems e similares embutidos na imagem.
- Postura de metadados da imagem, flags na config da imagem (rodando como root, sem health check) são reportadas como severidade info, nunca infladas.
Como agir em um achado
A maioria das correções vem em uma de três formas:
- Reconstruir a imagem para que a camada base e as dependências peguem as versões patchadas. A maioria dos builds do Guara Cloud reaplica imagens base a cada build; para controle explícito, veja Configuração de Build.
- Subir versão de dependência no manifesto do seu gerenciador de pacotes para uma versão corrigida.
- Suprimir até o fornecedor publicar correção, e revisitar nessa data.
Cada campo de remediação do achado inclui a versão corrigida (se conhecida) e um deep link de volta para o serviço afetado.
Para onde ir agora
- Veja a caixa de entrada unificada de cada sinal de segurança: Achados de Segurança.
- Veja a visão cronológica de quando as verificações rodaram e quando as CVEs apareceram: Eventos de Segurança.
- Tenha uma leitura em linguagem clara sobre um achado de CVE: Explicar esta Ameaça.