Esta semana Minimus sacudió el ecosistema DevSecOps: liberó su catálogo completo de imágenes de contenedor endurecidas, sin necesidad de registro ni límites de descarga. Las llaman "distroless hardened images" y varias de ellas muestran una reducción del 100% en la cantidad de CVEs que detectan los escáneres. Pero la novedad no es solo el número —es la combinación de gratuidad, cobertura de stacks enteros y variantes listas para entornos regulados con FIPS y STIG.
Minimus es un catálogo de imágenes de contenedor mínimas y endurecidas que elimina shells, gestores de paquetes y librerías que una aplicación no ejecuta en runtime. Esto reduce drásticamente la superficie de ataque y el ruido de los escáneres de vulnerabilidades, porque los CVEs asociados a esos componentes desaparecen del reporte. Las imágenes disponibles cubren desde bases de datos (PostgreSQL, Redis, MongoDB) hasta herramientas de infraestructura como cert-manager, Argo Rollouts o Kyverno.
¿Qué cambió esta semana con la apertura del catálogo?

Hasta ahora, las imágenes de Minimus estaban detrás de un acceso corporativo o licencias pagas. El 24 de junio de 2026 la empresa anunció la Community Edition gratuita, que da acceso a todo el catálogo sin login y sin restricciones de pull. La noticia fue cubierta por heise online y despertó un debate inmediato en foros técnicos: ¿es el fin de las imágenes base pesadas en producción?
La jugada responde a un crecimiento explosivo de vulnerabilidades descubiertas con ayuda de IA, que está saturando a los equipos. En palabras del CEO Ben Bernstein, herramientas como Mythos y Glasswing están multiplicando el volumen de CVEs, mientras los parches no dan abasto. La lógica de Minimus es cortar de raíz: en lugar de parchear todo, sacás los paquetes que ni siquiera usás.
¿Cómo logra una imagen tener literalmente 0 CVEs?
El truco es de ingeniería, no de magia. Los escáneres como Trivy o Grype cruzan los paquetes instalados en el contenedor con bases de datos de vulnerabilidades conocidas. Si la imagen no trae bash, curl, openssl o glibc completa, esos cientos de CVEs que llenan los reportes de seguridad simplemente no existen en tu superficie. No es que los parcharon: los eliminaron.
Minimus parte de una filosofía distroless, como la que Google popularizó con Distroless en 2017 y Chainguard llevó a producto comercial. Las imágenes incluyen solo la aplicación y sus dependencias de runtime, sin toolchains de compilación, sin gestor de paquetes y —clave— sin shell. Sin /bin/sh, un atacante que logre ejecución remota se queda sin intérprete para encadenar comandos. La superficie de ataque se reduce a lo mínimo indispensable.
El catálogo publica números concretos: una imagen de Redis que en su versión oficial puede arrastrar decenas de CVEs, en la variante endurecida de Minimus marca 0 vulnerabilidades al momento del build. Lo mismo ocurre con PostgreSQL, cert-manager, MongoDB y varias herramientas de infraestructura. En el caso de Python, el post de Minimus ejemplifica que la imagen oficial de Docker Hub trae 472 paquetes de sistema operativo y 314 CVEs (9 críticos); la de Minimus baja a 23 paquetes y solo 2 CVEs manejables.
¿Qué implica esto para un equipo de desarrollo en producción?
Para cualquiera que haya sufrido la fatiga de cientos de alertas "críticas" que nunca se van, la promesa tiene peso. Pero hay varios planos prácticos que conviene separar:
- Menos ruido en el pipeline de CI/CD. Con la imagen mínima, el escaneo devuelve solo lo que está realmente en uso. Eso devuelve sentido al gate de seguridad y evita que el equipo empiece a ignorar los reportes.
- Auditorías y cumplimiento más simples. Las variantes FIPS (módulos criptográficos validados) y STIG (alineadas con las guías del Departamento de Defensa de EE.UU.) son un atajo enorme para bancos, fintech, salud y gobierno, que hoy arman esas mismas configuraciones a mano, invirtiendo semanas de laburo.
- Pérdida de herramientas de diagnóstico en caliente. Sin shell, no podés hacer
docker exec -it container shpara debuguear. La solución es usar contenedores efímeros (kubectl debug), logs estructurados o sidecars. Es un compromiso real: ganás seguridad, perdés comodidad. - Dependencia del proveedor para los rebuilds. Si aparece un CVE nuevo, necesitás que Minimus reconstruya la imagen y la publique. En el tier gratuito no hay SLA ni cadencia garantizada; los parches priorizan a las suscripciones de pago. La transparencia está en la letra chica: "hardened" describe la configuración al momento del build, no una garantía futura.
En términos de rendimiento, la reducción de tamaño es otro efecto colateral bienvenido: las imágenes suelen pesar entre un 80 % y un 95 % menos que las oficiales, lo que acelera pulls, despliegues y escalados automáticos.
¿Cómo empezar a usar imágenes endurecidas hoy?
No necesitás cambiar todo tu stack de golpe. La estrategia de riesgo bajo que recomienda el propio análisis de elsolitario.org es elegir un servicio no crítico, reemplazar la imagen base por la variante endurecida, ejecutar tu suite de tests y comparar el conteo de CVEs con Trivy. El número suele convencer más que cualquier presentación.
Para probar Redis desde el catálogo recién abierto, los comandos son indistintos en cualquier sistema operativo:
docker pull images.minimus.io/library/redis:latest
trivy image images.minimus.io/library/redis:latest
Comparalo con la imagen oficial y vas a ver la diferencia. Lo mismo aplica a PostgreSQL, Nginx, cert-manager o cualquier herramienta del catálogo.
Si querés armar tus propias imágenes mínimas sin depender de un proveedor, el patrón canónico es el multi-stage build. Compilás en una etapa con toolchain completo y copiás solo el binario final a una imagen distroless, por ejemplo con Go:
# Etapa 1: build
FROM golang:1.23 AS build
WORKDIR /src
COPY . .
RUN go build -o /app ./cmd
# Etapa 2: runtime mínimo y endurecido
FROM gcr.io/distroless/static-debian12:nonroot
COPY --from=build /app /app
USER nonroot
ENTRYPOINT ["/app"]
El resultado es una imagen sin shell, sin gestor de paquetes y con un tamaño mucho menor. Si en lugar de armar todo de cero preferís consumir directamente del catálogo, la migración puede ser tan simple como cambiar una línea del Dockerfile.
¿Qué limitaciones tiene el tier gratuito y qué ofrece el enterprise?
El modelo de negocio es el mismo que popularizó Chainguard: la Community Edition es un escaparate y un imán de adopción, pero el producto real se vende en la suscripción Enterprise. La información de heise online detalla los números:
- Community Edition: acceso sin registro, sin soporte, sin SLA de parches y sin garantía de cadencia de reconstrucción.
- Enterprise Edition: SLAs de remediación contractuales (24 horas para CVEs críticos y altos en la lista CISA-KEV, 48 horas para el resto), creador de imágenes personalizadas, SSO empresarial, RBAC y sincronización a registros propios, incluso en entornos air-gapped.
Además, Minimus incluye la CLI minicli, pensada para agentes de IA como Claude o Cursor, que automatiza la migración de Dockerfiles a imágenes endurecidas. Es un detalle que muestra hacia dónde apunta la industria: automatizar la minimización como parte del flujo de desarrollo.
Preguntas frecuentes
¿Una imagen con 100 % menos CVEs es realmente invulnerable?
No. Significa que al momento del build el escáner no encontró vulnerabilidades en los paquetes instalados, porque se eliminaron los componentes que solían contenerlas. Pueden aparecer CVEs nuevos en el futuro, y el código de la propia aplicación no es analizado por este enfoque.
¿Perder el shell complica el debugging?
Sí. Vas a tener que adoptar herramientas nativas de Kubernetes como kubectl debug con contenedores efímeros, o depender de logs estructurados y métricas. En entornos de desarrollo quizás prefieras mantener una imagen con shell para la comodidad del diagnóstico.
¿Las imágenes FIPS y STIG sirven para regulaciones fuera de EE.UU.?
Aunque FIPS y STIG son estándares del gobierno estadounidense, muchas auditorías internacionales los reconocen como evidencia de buenas prácticas o punto de partida para compliance. En cada caso es necesario revisar si el marco local los acepta tal cual.
¿Puedo usar estas imágenes en cualquier orquestador?
Sí. Son imágenes OCI estándar que funcionan en Docker, containerd, Kubernetes y cualquier runtime compatible. La empresa diseñó las imágenes como reemplazos drop-in: la misma API, solo cambia la imagen base.
El movimiento de Minimus no inventa la rueda, pero democratiza un enfoque que hasta ahora era o muy artesanal o muy caro. La clave está en no dejarse encandilar por el "100 % menos CVEs" y entender que es un 100 % de ruido eliminado, no de seguridad absoluta. Si estás cansado de perseguir alertas que nunca terminan, las imágenes mínimas endurecidas son un paso concreto que podés dar esta misma semana.