Imagine que sua equipe de desenvolvimento está acelerando para liberar uma atualização crítica, mas o processo de escaneamento trava tudo. São reportadas 47 vulnerabilidades, mas quais realmente importam? Quais são exploráveis em produção? E, mais importante: bloquear o deploy ou seguir adiante?

Essa é a realidade diária de diversos times DevOps. Ferramentas tradicionais de escaneamento detectam vulnerabilidades, porém falham em priorizá-las. Elas inundam as equipes com alertas, geram gargalos nos releases e forçam decisões impossíveis entre segurança e velocidade.

É por isso que a upwind criou o Harbor Shift Left. Essa funcionalidade “shift left” para o Harbor vai além de um scanner: é uma plataforma de inteligência de segurança que se integra diretamente ao repositório de contêineres Harbor e conecta-se à plataforma Upwind. Combinando escaneamento no repositório com insights enriquecidos de runtime, os times podem focar apenas nas vulnerabilidades que efetivamente representam risco e entregar com mais confiança.

O desafio do “Shift Left” tradicional

Escaneamentos no momento da build (fase inicial) geram milhares de alertas sem contexto. Muitas vezes, times precisam separar vulnerabilidades teóricas das que efetivamente importam, o que causa atrasos e atritos entre equipes. A proposta do Harbor Shift Left é integrar esse escaneamento com o contexto de runtime extraído da plataforma Upwind, trazendo inteligência real para pipelines de CI/CD.

Com isso, é possível priorizar vulnerabilidades com base no impacto real ao ambiente de execução, melhorando tanto a segurança quanto a velocidade dos releases.

Arquitetura do Harbor Shift Left

O scanner Harbor Shift Left da Upwind é construído em arquitetura de microsserviços, projetada para se integrar ao Harbor por meio da Harbor Scanner Adapter API, ao mesmo tempo em que envia dados para a plataforma Upwind para análise centralizada.

O fluxo funciona da seguinte forma:

1. O Harbor inicia uma requisição de escaneamento que é recebida pelo servidor de API da Upwind.
2. Esse servidor orquestra jobs Kubernetes para executar o escaneamento dos contêineres.
3. Cada job roda o motor Shift Left sobre a imagem de contêiner alvo.
4. Os resultados são enviados automaticamente para a plataforma Upwind, onde são enriquecidos com o contexto de runtime e análise adicional.

Essa abordagem oferece escalabilidade em ambientes Kubernetes, compatibilidade nativa com o Harbor e um fluxo de trabalho integrado que conecta o escaneamento de imagem com insights orientados por runtime.

Detalhes técnicos relevantes

• O scanner é totalmente compatível com a Harbor Scanner Adapter API (endpoints de metadata, scan e report), para integração fluida sem necessidade de alterar a configuração do registry.
• Os escaneamentos são feitos de forma assíncrona via jobs Kubernetes, isso permite executar múltiplas varreduras simultâneas, rejeitar falhas automaticamente e gerenciar recursos com eficiência.
• A extração da imagem do contêiner é feita usando Skopeo, sem necessidade de utilizar daemon Docker.
• O motor realiza:
  • varredura de vulnerabilidades (detecção de CVEs, análise de pacotes, avisos de segurança),
  • busca por exposição de segredos (chaves de API, tokens etc.),
  • enriquecimento com contexto de execução (runtime) para priorização mais assertiva.

Os resultados de vulnerabilidade aparecem direto na UI do Harbor, enquanto os dados sobre exposição de segredos ficam disponíveis no portal Upwind, garantindo uma camada extra de visibilidade sem sobrecarregar o registry.

Inteligência de runtime em múltiplos ambientes de nuvem

A plataforma Upwind complementa o escaneamento Harbor com contexto real de execução nos ambientes de nuvem, conectando-se a AWS, Azure e Google Cloud para monitorar workloads como Lambdas, ECS, Function Apps, entre outros. Isso permite classificar vulnerabilidades com base em exposição efetiva, por exemplo, uma vulnerabilidade em um contêiner publicamente acessível terá prioridade muito maior do que outra em workload interno ou inativo.

Escalabilidade, performance e segurança operacional

• O scanner atua como um deployment em Kubernetes com réplicas, limites de recursos definidos e isolamento de rede restrito apenas ao necessário para comunicação com Harbor e a plataforma Upwind.
• O escaneamento paralelo via jobs Kubernetes, o uso de Skopeo e um sistema de streams de resultado em partes ajudam a otimizar memória e reduzir chamadas de API desnecessárias.
• Os resultados são enviados em lotes (batched uploads) para tornar as operações mais eficientes.

Vantagens do Harbor Shift Left + plataforma Upwind

Com a integração entre o scanner Shift Left e a plataforma Upwind, sua organização ganha:

• Visibilidade multi-nuvem consolidada (AWS, Azure, GCP)
• Escoragem de risco com inteligência de máquina (ML) contextualizada por runtime
• Avaliação de exposição de segredos com workflows automatizados
• Eficiência operacional com ticketing automático, alertas proativos e relatórios compliance
• Visão de tendências para planejamento de longo prazo

Conclusão

Desenvolver o Harbor Shift Left foi uma jornada de integração profunda entre Go, Kubernetes, Harbor e a plataforma Upwind. O resultado é uma solução escalável e pronta para produção que promove segurança eficaz sem frear o ritmo de entrega.

Já adotado em ambientes reais, o scanner permite que equipes superem o paradigma de escaneamentos estáticos, ativando inteligência de runtime para segurança de contêineres e entregando com confiança.

Quer saber mais como integrar Harbor e Upwind?