Dal 2026-06-08 DockSec emerge come caso di studio concreto nel gap tra rilevamento e remediation delle vulnerabilità container. Il progetto open-source, creato da Advait Patel e adottato come OWASP Incubator, combina tre scanner deterministici — Trivy, Hadolint e Docker Scout — con un layer LLM che correla i risultati, elimina duplicati e genera punteggi di sicurezza 0-100 con fix specifici per riga di Dockerfile. La posta in gioco è la cosiddetta "vulnerability noise": secondo SecurityWeek, Patel ha rilevato 183 vulnerabilità high severity e 15 critical in sole 15 immagini di test, con HashiCorp Vault che da solo ne presentava 40.
- DockSec integra Trivy, Hadolint e Docker Scout, aggiungendo un layer LLM che correla i risultati e rimuove duplicati per classificarli per impatto reale
- Genera un punteggio 0-100 e remediation specifiche per riga di Dockerfile, con supporto a quattro backend LLM: OpenAI, Anthropic, Google Gemini e modelli locali via Ollama
- Solo i metadati dello scan transitano verso l'LLM, mai il contenuto dell'immagine; esiste una modalità scan-only offline che non richiede API key
- Il progetto conta approssimativamente 18.000 download e 90 pull request; l'adozione OWASP Incubator ha segnato il passaggio da progetto personale a strumento considerato dalle enterprise team
Il "workflow gap" dove le vulnerabilità container vanno a morire
Il problema che DockSec mira a risolvere non è la mancanza di scanner. È l'abisso tra "lo scanner ha trovato qualcosa" e "lo sviluppatore lo sistema". Come ha dichiarato Patel a Help Net Security: "The container security landscape sorts into two buckets right now... Pure scanners are good at finding things and bad at helping you fix them. You get a list of 200 CVEs and the developer's job is to figure out which 3 matter." Questo eccesso di allarmi non prioritizzati — la "vulnerability noise" — genera remediation fatigue e, conseguentemente, rischio accettato tacitamente che si accumula nelle immagini di produzione.
La soluzione proposta è un'architettura a tre livelli. Il primo è scanner deterministico: Trivy per le vulnerabilità, Hadolint per le best practice del Dockerfile, Docker Scout per l'analisi profonda dell'immagine. Il secondo livello è la correlazione LLM, che incrocia i risultati dei tre motori, elimina sovrapposizioni e classifica per impatto operativo reale. Il terzo genera il punteggio 0-100 e, soprattutto, le fix specifiche per riga di Dockerfile.
"I scanned 15 images and found 183 vulnerabilities rated with high severity and a further 15 rated as critical... HashiCorp Vault – a tool built specifically to secure secrets – shipped with 40 vulnerabilities in its own image." — Advait Patel, creatore DockSec, riportato da SecurityWeek
Perché "Copilot dice che va bene" non regge all'audit
Il posizionamento di DockSec contro gli assistenti AI general-purpose è esplicito. Patel ha dichiarato a Help Net Security: "'Copilot said it was fine' does not survive an auditor's first question." Il layer dedicato esiste perché la sicurezza deve risiedere in un envelope di governance che gli strumenti general-purpose non sono costruiti per offrire. Questa distinzione è operativa: DockSec non genera raccomandazioni generiche, ma fix contestualizzate alla specifica riga del Dockerfile, con tracciabilità del processo decisionale.
L'architettura preserva la confidenzialità dei dati: secondo SecurityWeek, "The scanning is done locally, and only the scan metadata goes to the LLM – never the image content." I report si esportano in HTML, PDF, JSON, CSV, Markdown. Il requisito minimo è Python 3.12, licenza MIT. La modalità scan-only offline, disponibile con Ollama per modelli locali, non richiede API key — un punto rilevante per ambienti con restrizioni sui dati in transito.
La vera competizione: non GitHub Copilot, ma Snyk e Prisma che aggiungeranno reasoning AI
Il rischio competitivo immediato per DockSec non proviene dagli assistenti coding general-purpose. Patel lo ha formulato con chiarezza: il pericolo è che Snyk, Aqua, Sysdig, Prisma Cloud "bundle equivalent reasoning capabilities into their existing licenses." Queste piattaforme enterprise hanno già i contratti, le integrazioni CI/CD, il supporto commerciale. Se aggiungessero un layer LLM di correlazione e remediation ai loro scanner esistenti, il vantaggio temporale di DockSec si restringerebbe drasticamente.
La corroborazione arriva da ReversingLabs, che ha raccolto analisti di S&P Global, Averlon, Iterable e Sphere Technology sul significato strategico del progetto. Il consenso: DockSec rappresenta un test case rilevante per l'open source nel segmento AI-assisted security, ma la sostenibilità del modello dipende dalla velocità con cui la community manterrà il passo rispetto ai vendor commerciali.
Il dato quantitativo dell'adozione — approssimativamente 18.000 download e 90 pull request secondo SecurityWeek — mostra interesse della community, anche se non è verificabile indipendentemente l'aggiornamento di questi numeri al momento della pubblicazione. Analogamente, l'affermazione che "enterprise teams started taking it seriously" dopo l'adozione OWASP è una metrica qualitativa basata sulla percezione del creatore, non su dati di adozione verificati.
Cosa fare adesso
Per team che gestiscono container Docker e cercano un flusso di remediation più rapido, DockSec offre azioni concrete: installare il tool via Python 3.12 con licenza MIT, configurare uno dei quattro backend LLM supportati (OpenAI, Anthropic, Google Gemini, Ollama locale), e attivare la modalità scan-only offline dove le policy aziendali vietano l'invio di dati a servizi cloud. Il punteggio 0-100 e le fix per riga di Dockerfile riducono il tempo di triage rispetto alla lettura manuale di report multipli da Trivy, Hadolint e Docker Scout.
La roadmap documentata include Docker Compose multi-service, Kubernetes manifest, GitHub Action per PR review e custom policy enforcement — nessuna disponibile al momento della pubblicazione. Chi adotta DockSec oggi ottiene correlazione LLM e remediation specifiche, ma deve pianificare l'integrazione manuale in pipeline CI/CD esistenti fino al rilascio della GitHub Action promessa.
Il limite da monitorare è la distinzione, segnalata dagli esperti di ReversingLabs, tra plausibilità delle fix generate da LLM e efficacia reale una volta applicate. La verifica sistematica delle raccomandazioni resta responsabilità dell'utente, non garanzia del tool.
La roadmap e i limiti del progetto
La roadmap documentata da Patel a Help Net Security include quattro direttrici: Docker Compose per scenari multi-service, Kubernetes manifest per l'orchestrazione nativa, GitHub Action per la review automatica delle pull request, e custom policy enforcement per regole aziendali specifiche. Nessuna di queste è disponibile al momento della pubblicazione.
I limiti del dossier sono significativi. Non è documentata una metodologia pubblica per il calcolo del punteggio 0-100. Non risultano audit di sicurezza indipendenti sul tool stesso. Non è specificato quanti utenti enterprise utilizzino regolarmente DockSec in produzione, né se la modalità offline con Ollama garantisca parità funzionale rispetto ai backend cloud. Gli esperti citati da ReversingLabs mettono in guardia sulla distinzione tra plausibilità delle fix generate da LLM e efficacia reale una volta applicate — una distanza che solo il testing sistematico può misurare.
Domande frequenti
DockSec sostituisce Trivy, Hadolint o Docker Scout?
No. Li integra e dipende da loro per il rilevamento deterministico. Il valore aggiunto è la correlazione LLM e la generazione di fix contestualizzate, non un nuovo engine di scanning.
Le fix generate dall'LLM sono garantite corrette?
Il dossier non documenta garanzie di correttezza. Gli esperti citati da ReversingLabs distinguono tra plausibilità della raccomandazione e efficacia reale, indicando un gap che richiede verifica manuale o automatizzata.
DockSec è un progetto OWASP di massimo livello?
No. È esplicitamente un "OWASP Incubator Project", il livello iniziale del percorso di maturità OWASP. Questo ne legitima la direzione ma non equivale a endorsement di robustezza enterprise completo.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- https://www.helpnetsecurity.com/2026/06/08/docksec-open-source-ai-docker-security-scanner/
- https://www.securityweek.com/open-source-docksec-uses-ai-to-cut-through-vulnerability-noise-in-docker-images/
- https://www.reversinglabs.com/blog/owasp-adopts-docksec
- https://www.securityweek.com/owasp-incubator-project-helps-developers-find-and-fix-vulnerable-dependencies-in-seconds/
- https://www.securityweek.com/emphere-raises-2-1-million-for-ai-powered-vulnerability-remediation/
- https://www.securityweek.com/in-other-news-anthropic-maps-ai-threats-unpatched-comodo-flaw-palantir-chief-eyed-for-cisa/
- https://www.helpnetsecurity.com/2025/05/20/containers-namespaces-security/
- https://www.helpnetsecurity.com/2026/05/27/anthropic-claude-code-security-guidance-plugin/
- https://www.helpnetsecurity.com/2026/05/14/ai-governance-gap-video/
- https://www.helpnetsecurity.com/2026/03/02/ai-security-spending-budget-2026/