{"id":1178,"date":"2026-03-11T15:20:32","date_gmt":"2026-03-11T18:20:32","guid":{"rendered":"https:\/\/maurobernal.com.ar\/blog\/?p=1178"},"modified":"2026-03-11T20:02:26","modified_gmt":"2026-03-11T23:02:26","slug":"seguridad-en-docker-buenas-practicas-errores-comunes","status":"publish","type":"post","link":"https:\/\/maurobernal.com.ar\/blog\/seguridad-en-docker-buenas-practicas-errores-comunes\/","title":{"rendered":"Seguridad en Docker: errores que comet\u00ed y c\u00f3mo los correg\u00ed"},"content":{"rendered":"\n

Desplegu\u00e9 una imagen con credenciales hardcodeadas en el Dockerfile. Una vez. Cuando me di cuenta, la imagen estaba en el registry privado de la empresa y nadie m\u00e1s la hab\u00eda visto \u2014 pero el susto fue suficiente para que revisara la seguridad de todos mis contenedores ese mismo d\u00eda.<\/p>\n\n\n\n

Los errores de seguridad m\u00e1s comunes en Docker<\/h2>\n\n\n\n

La mayor\u00eda de los problemas de seguridad en Docker no son bugs ex\u00f3ticos: son malas pr\u00e1cticas que cometemos por desconocimiento o por apurarnos. Ac\u00e1 van los que yo comet\u00ed y c\u00f3mo los correg\u00ed.<\/p>\n\n\n\n

Error 1: Correr contenedores como root<\/h2>\n\n\n\n
# ❌ Por defecto, el proceso corre como root dentro del contenedor\nFROM node:20-alpine\nWORKDIR \/app\nCOPY . .\nRUN npm install\nCMD [\"node\", \"server.js\"]\n# Si el proceso es comprometido, tiene privilegios de root dentro del contenedor\n\n# ✅ Crear y usar un usuario no-root\nFROM node:20-alpine\nWORKDIR \/app\n\n# Crear usuario sin privilegios\nRUN addgroup -S appgroup && adduser -S appuser -G appgroup\n\n# Copiar archivos con el usuario correcto\nCOPY --chown=appuser:appgroup . .\nRUN npm install --only=production\n\nUSER appuser\nCMD [\"node\", \"server.js\"]<\/code><\/pre>\n\n\n\n
Error 2: Secretos en el Dockerfile o en variables de entorno planas<\/h2>\n\n\n\n
# ❌ NUNCA - el secreto queda grabado en una capa para siempre\nENV DB_PASSWORD=mipassword123\nRUN curl -H \"Authorization: Bearer TOKENREALAQUI\" https:\/\/api.interna.com\/config\n\n# Aunque hagas otra capa que lo \"borre\", sigue en la historia de la imagen:\ndocker history mi-imagen  # el secreto es visible\n\n# ✅ Para secrets en build-time, usar BuildKit secrets\n# Esto NO deja rastro en las capas\n# syntax=docker\/dockerfile:1\nFROM alpine\nRUN --mount=type=secret,id=api_token     TOKEN=$(cat \/run\/secrets\/api_token) &&     curl -H \"Authorization: Bearer $TOKEN\" https:\/\/api.interna.com\/config\n\n# Build:\ndocker build --secret id=api_token,src=.\/secrets\/api_token .\n\n# ✅ Para secrets en runtime, usar Docker secrets (Swarm) o variables de entorno\n# via archivo .env que NUNCA va al repositorio\ndocker run --env-file .env.prod mi-imagen<\/code><\/pre>\n\n\n\n
Error 3: Im\u00e1genes base desactualizadas<\/h2>\n\n\n\n
# Escanear una imagen en busca de vulnerabilidades conocidas\ndocker scout cves mi-imagen:latest\n\n# O con Trivy (m\u00e1s completo, lo que uso en CI)\ndocker run --rm   -v \/var\/run\/docker.sock:\/var\/run\/docker.sock   aquasec\/trivy image mi-imagen:latest\n\n# Resultado t\u00edpico:\n# 2026-03-11T10:00:00Z INFO Detected OS: alpine 3.18\n# CRITICAL: 0, HIGH: 1, MEDIUM: 3, LOW: 8\n# HIGH: libssl CVE-2024-XXXXX - update to 3.1.5-r0<\/code><\/pre>\n\n\n\n
Error 4: El .dockerignore inexistente<\/h2>\n\n\n\n
# Sin .dockerignore, COPY . . incluye todo \u2014 incluyendo:\n# - .git\/ (historial completo del repo)\n# - .env (credenciales locales)\n# - node_modules\/ (pesado e innecesario)\n# - tests\/ (c\u00f3digo de tests en la imagen de producci\u00f3n)\n\n# .dockerignore completo que uso en todos mis proyectos:\n.git\n.gitignore\n.env\n.env.*\n!.env.example\n**\/node_modules\n**\/bin\n**\/obj\n**\/*.log\n**\/.DS_Store\ndocker-compose*.yml\nDockerfile*\ntests\/\ndocs\/\nREADME.md\n.github\/<\/code><\/pre>\n\n\n\n
Dockerfile inseguro vs seguro: comparaci\u00f3n completa<\/h2>\n\n\n\n
# ❌ Dockerfile inseguro\nFROM node:latest                    # versi\u00f3n impredecible\nENV API_KEY=abc123supersecret       # secreto en capa\nWORKDIR \/app\nCOPY . .                            # sin .dockerignore, incluye .env y .git\nRUN npm install                     # instala todo incluyendo devDependencies\nEXPOSE 3000\nCMD [\"node\", \"server.js\"]           # corre como root<\/code><\/pre>\n\n\n\n
# ✅ Dockerfile seguro\nFROM node:20.11.0-alpine3.19        # versi\u00f3n fija y verificable\n\nWORKDIR \/app\n\n# Usuario no-root\nRUN addgroup -S app && adduser -S app -G app\n\n# Dependencias primero (aprovecha cache, sin devDependencies)\nCOPY --chown=app:app package*.json .\/\nRUN npm ci --only=production && npm cache clean --force\n\n# C\u00f3digo fuente (sin secretos - .dockerignore los excluye)\nCOPY --chown=app:app src\/ .\/src\/\n\n# Sin variables de entorno sensibles en la imagen\n# Se pasan en runtime con --env-file\n\nUSER app\nEXPOSE 3000\n\n# Healthcheck\nHEALTHCHECK --interval=30s --timeout=3s --retries=3   CMD wget -q -O \/dev\/null http:\/\/localhost:3000\/health || exit 1\n\nCMD [\"node\", \"src\/server.js\"]<\/code><\/pre>\n\n\n\n
Limitar capacidades del contenedor<\/h2>\n\n\n\n
# Eliminar todas las capabilities de Linux y agregar solo las necesarias\ndocker run   --cap-drop=ALL   --cap-add=NET_BIND_SERVICE \\   # solo si necesita bind a puerto < 1024\n  --read-only \\                   # sistema de archivos de solo lectura\n  --tmpfs \/tmp \\                  # \u00e1rea de escritura temporal\n  --security-opt=no-new-privileges   --user 1001:1001   mi-imagen:latest<\/code><\/pre>\n\n\n\n
El checklist que uso antes de cada deploy<\/h2>\n\n\n\n