https://sergiobelkin.com/esContents © 2026 <a href="mailto:sebelk@gmail.com">sebelk</a> <a rel="license" href="https://creativecommons.org/licenses/by-nc-sa/4.0/"> <img alt="Creative Commons License BY-NC-SA" style="border-width:0; margin-bottom:12px;" src="https://i.creativecommons.org/l/by-nc-sa/4.0/88x31.png"></a> Tue, 26 May 2026 11:23:16 GMTNikola (getnikola.com)http://blogs.law.harvard.edu/tech/rsshttps://sergiobelkin.com/posts/3-power-tips-power-link-i5/sebelk<figure><img src="https://sergiobelkin.com/images/PowerTipsPlus.png"></figure> <p><strong>Resumen:</strong> Tips para containers, uso de digests y análisis de seguridad de imágenes y obtener información de imágenes remotas. Además, un link a un post en el cual un líder de ingenería recomienda pasar de Docker a Podman. </p> <h3 id="power-tip-1-etiquetar-las-imagenes-con-digest-en-produccion">Power Tip #1 Etiquetar las imágenes con digest en producción</h3> <p><strong>❌ Mala práctica, apuntar a un tag:</strong></p> <div class="code"><pre class="code literal-block">podman<span class="w"> </span>run<span class="w"> </span>-d<span class="w"> </span>--name<span class="w"> </span>pass_git<span class="w"> </span>localhost/passteiner-ubi9:1 </pre></div> <p>Esta es una mala práctica porque:</p> <ul> <li>Es mutable, puede apuntar a otro build</li> <li>También es un error confiar ciegamente usar <em>latest</em>, hoy puede apuntar a una versión, mañana a otra</li> <li>Dificulta el debugging al no saber exactamente qué versión usás</li> </ul> <p><strong>✅ Buena práctica:</strong></p> <div class="code"><pre class="code literal-block">podman<span class="w"> </span>run<span class="w"> </span>-d<span class="w"> </span>--name<span class="w"> </span>pass-git<span class="w"> </span>--pull<span class="o">=</span>never<span class="w"> </span><span class="se">\</span> <span class="w"> </span>localhost/passteiner-ubi9@sha256:3ca1e63acb24d88fde5e86eb1f476ba69eb740cd43590c37f3a964b5a19f001 </pre></div> <p><strong>Ventajas:</strong></p> <ul> <li> <p>Totalmente reproducible y auditable.</p> </li> <li> <p>Evitás actualizaciones sorpresa.</p> </li> <li> <p>Ideal para ambientes de producción, CI/CD, y entornos donde la confiabilidad importa.</p> </li> </ul> <h3 id="power-tip-2-examinar-vulnerabilidades-en-imagenes-de-contenedores">Power Tip #2 Examinar vulnerabilidades en imágenes de contenedores</h3> <p>La abstración con que nos proporcionan los contenedores, tal vez nos den una falsa sensación de seguridad, sin embargo, con trivy se pueden escanear en una imagen vulnerabilades por ejemplo:</p> <div class="code"><pre class="code literal-block">trivy<span class="w"> </span>image<span class="w"> </span>docker.io/bitnami/wordpress </pre></div> <p>Debajo podemos ver un resumen:</p> <p><a class="image-reference" href="https://sergiobelkin.com/images/pt5-trivy.webp"><img src="https://sergiobelkin.com/images/pt5-trivy.thumbnail.webp" alt="Resumen del reporte realizado por trivy"></a> </p> <h3 id="power-tip-3-examinar-imagenes-de-contenedores-sin-necesidad-pullearlas">Power Tip #3 Examinar imágenes de contenedores sin necesidad "pullearlas"</h3> <div class="code"><pre class="code literal-block">skopeo<span class="w"> </span>inspect<span class="w"> </span>docker://docker.io/ollama/ollama<span class="w"> </span><span class="se">\</span> <span class="w"> </span><span class="p">|</span><span class="w"> </span>jq<span class="w"> </span><span class="s1">'{Digest: .Digest, Labels: .Labels, UltimaCapa: .Layers[-1]}'</span> </pre></div> <div class="code"><pre class="code literal-block"><span class="p">{</span> <span class="w"> </span><span class="nt">"Digest"</span><span class="p">:</span><span class="w"> </span><span class="s2">"sha256:a5409cb903d30f9cd67e9f430dd336ddc9274e16fd78f75b675c42065991b4fd"</span><span class="p">,</span> <span class="w"> </span><span class="nt">"Labels"</span><span class="p">:</span><span class="w"> </span><span class="p">{</span> <span class="w"> </span><span class="nt">"org.opencontainers.image.ref.name"</span><span class="p">:</span><span class="w"> </span><span class="s2">"ubuntu"</span><span class="p">,</span> <span class="w"> </span><span class="nt">"org.opencontainers.image.version"</span><span class="p">:</span><span class="w"> </span><span class="s2">"24.04"</span> <span class="w"> </span><span class="p">},</span> <span class="w"> </span><span class="nt">"UltimaCapa"</span><span class="p">:</span><span class="w"> </span><span class="s2">"sha256:45fafbfc0e267e3b61858ae5cb28ff739d901d85e1b60ee62db5dad64ae7c0d5"</span> <span class="p">}</span> </pre></div> <h4 id="de-esta-manera-obtenemos">De esta manera obtenemos:</h4> <ul> <li>El <strong>Digest</strong> de la imagen (identificador único inmutable).</li> <li>En qué <strong>distro base y versión</strong> se construyó la imagen (<code>ubuntu:24.04</code>).</li> <li>El <strong>Digest de la última capa</strong>, que representa el <strong>último cambio</strong> al sistema de archivos durante el proceso de build.</li> </ul> <blockquote> <p><em>El digest de la última capa representa el último cambio al sistema de archivos en el proceso de construcción de la imagen.</em></p> </blockquote> <h4 id="power-link">Power Link</h4> <p><a href="https://codesmash.dev/why-i-ditched-docker-for-podman-and-you-should-too">Why I Ditched Docker for Podman And You Should Too</a></p>podmanseguridadskopeotrivyhttps://sergiobelkin.com/posts/3-power-tips-power-link-i5/Sat, 13 Sep 2025 19:38:48 GMT