Images de conteneurs renforcés : Images pour une chaîne d'approvisionnement sécurisée
Les observateurs des produits de sécurité de la chaîne d'approvisionnement des logiciels se demandent souvent dans quelle catégorie de marché Chainguard Images s'inscrit. Par exemple, certains analystes situent Chainguard Images dans la catégorie "sécurité des conteneurs", ce qui est, à première vue, raisonnable. Les images Chainguard améliorent en effet la sécurité des conteneurs. De même, lors d'une récente conférence KubeCon, les participants qui se sont arrêtés au stand de Chainguard se sont souvent demandé quel type de "scanner de conteneurs" était Chainguard. Étant donné que de nombreuses entreprises spécialisées dans la sécurité des conteneurs proposent effectivement des scanners de conteneurs, cette question est compréhensible.
Mais nous pensons qu'il est temps que la "sécurité des conteneurs" soit divisée de la même manière qu'une foule lors d'une fête doit se répandre dans l'arrière-cour. Les entreprises spécialisées dans le scannage des conteneurs ont connu le succès, ce qui explique que la fête ait attiré beaucoup de monde. Mais Chainguard se dirige vers l'arrière-cour pour respirer un peu.
C'est pourquoi Chainguard annonce son nouveau rapport inaugural "State of Hardened Container Images". Il s'agit du rapport destiné aux entreprises qui utilisent des conteneurs et qui souhaitent commencer à gauche, et pas seulement passer à gauche. Le rapport analyse la sécurité d'une grande variété d'images de conteneurs "renforcées", y compris, entre autres, celles de Red Hat, d'Iron Bank de l'armée de l'air américaine (plus de détails à ce sujet ici) et de Chainguard.
Lisez la suite pour comprendre pourquoi Chainguard pense que cette partie sur la sécurité des conteneurs doit être examinée de plus près, et ce que notre analyse dit sur l'état des images de conteneurs durcis.
La nécessité d'une catégorie d'images de conteneurs renforcées
Les scanners de vulnérabilité des conteneurs, qui inspectent les conteneurs à la recherche de vulnérabilités et d'expositions communes connues (ou CVE), sont devenus extrêmement populaires. Qu'il s'agisse de scanners open source comme Grype ou de scanners propriétaires de sociétés comme Snyk ou Wiz, il existe aujourd'hui plus de scanners qu'il n'est possible d'en trouver. Par conséquent, les scanners de vulnérabilité des conteneurs sont largement devenus un produit de base.
L'engouement pour les scanners s'étant prolongé, on assiste aujourd'hui à une gueule de bois des CVE. Toutes les entreprises qui déploient des conteneurs, un nouveau moyen de regrouper du code personnalisé et ses dépendances et de l'envoyer dans le nuage à la manière DevOps, ont découvert que les scanners de conteneurs trouvent souvent des dizaines, voire des centaines, de CVE par conteneur. Alors que les sociétés de scanners espéraient que le fait de proposer des conseils de remédiation aux CVE résoudrait les problèmes identifiés par leurs scanners, ce n'est pas si simple, comme le suggèrent les recherches ultérieures.
Les nombres élevés de CVE peuvent être non seulement alarmants, mais aussi coûteux pour diverses raisons. Si de nombreux CVE sont des faux positifs, c'est-à-dire des vulnérabilités signalées par un scanner alors qu'elles n'existent pas (pour en savoir plus, cliquez ici), il y en a beaucoup de vraies.
Cette inondation de CVE dans les conteneurs a motivé Chainguard à construire un produit uniquement axé sur la refonte des images de conteneurs à partir de la base en gardant à l'esprit la sécurité et la conformité, d'où les images de conteneurs "durcies".
Voici Chainguard Images, notre suite d'images de conteneurs minimales avec peu ou pas de CVE, et l'option d'une version validée FIPS. Le minimalisme, qui signifie moins de paquets et une taille plus petite, réduit la surface d'attaque et le nombre de CVE. Mais lorsque des CVE apparaissent inévitablement dans les images Chainguard, nous y remédions dans le cadre d'un accord de niveau de service défini.
Introduction du rapport sur les images de conteneurs durcis
Pour aider les utilisateurs de conteneurs à apprécier le paysage des conteneurs durcis, Chainguard a publié son premier rapport sur les images de conteneurs durcis. Le rapport passe en revue une gamme d'images de conteneurs, certaines plus durcies que d'autres, et quelques techniques de durcissement des conteneurs.
L'analyse compare chaque ensemble d'images de conteneurs avec un ensemble équivalent ou similaire d'images Chainguard. Le rapport utilise le scanner de vulnérabilité open source Grype pour mesurer le nombre de CVE signalés dans chaque image ou ensemble d'images.
Voici une sélection des principales conclusions :
Les images populaires basées sur Debian et soutenues par la communauté qui ont un équivalent Chainguard Images ont, en moyenne, près de 300 CVE. Ce nombre de CVE est dû, au moins en partie, au fait que ces images de conteneurs comprennent, en moyenne, près de 300 composants ou paquets open source.
La simple mise à jour des paquets d'un sous-échantillon d'images populaires basées sur Debian vers la dernière version disponible ne permet qu'une modeste réduction de 5 % du nombre total de CVE.
L'analyse détaillée d'une technologie de "débloquage" de conteneurs, qui révèle un taux de réduction des CVE d'environ 65 %, suggère que cette technique n'est que modérément efficace.
Une analyse des images de conteneurs fournies par Red Hat suggère que ces images contiennent, en moyenne, près de 200 CVE. Ce décompte exclut les centaines de CVE que l'équipe de sécurité de Red Hat a qualifié de "non corrigés".
Les 50 images les plus téléchargées dans Iron Bank, un dépôt d'images de conteneurs renforcés de l'armée de l'air américaine, comportent en moyenne 110 CVE.
Les images Chiselled de Canonical ont peu ou pas de CVE et sont minimales, mais la collection d'images disponibles est actuellement réduite, et l'adoption nécessite des utilisateurs expérimentés.
En d'autres termes, cette analyse suggère que le conteneur - la pierre angulaire de l'informatique en nuage et l'unité sur laquelle reposent de nombreux autres éléments de l'infrastructure numérique - est une bombe à retardement en matière de sécurité.
Les résultats nous ramènent finalement à Chainguard Images, une collection toujours croissante d'images de conteneurs minimales, renforcées, avec peu ou pas de CVE. Le rapport répond également aux objections probables, notamment à la question de savoir si l'accent mis sur les CVE n'est pas à courte vue. Essentiellement, les CVE ne sont qu'une mesure de la sécurité, mais ignorer les CVE revient à ignorer une plaie ouverte au motif que le sang n'est qu'une mesure de la santé.
Images de conteneurs renforcées : Venez rejoindre la nouvelle fête
Toute cette histoire de sécurité des conteneurs est devenue populaire, peut-être trop populaire. La "sécurité des conteneurs" est devenue une catégorie de marché fourre-tout, trop large pour son propre bien.
La sécurité des conteneurs, telle qu'elle se présente actuellement, est comme une catégorie de marché qui comprend à la fois les toasts (pain bruni) et le grille-pain (appareil qui fait des toasts). Les solutions de sécurité des conteneurs comprennent actuellement des outils d'analyse des conteneurs (souvent, mais pas exclusivement, à la recherche de CVE) et des images de conteneurs renforcées. Tout comme un toast et un grille-pain ne sont pas la même chose, les scanners de conteneurs et les images de conteneurs durcis ne sont pas non plus la même chose.
C'est pourquoi il est temps de créer une catégorie de marché pour les images de conteneurs renforcées. C'est l'occasion pour les équipes de logiciels natifs dans le nuage de construire à gauche, et non de passer à gauche. En utilisant des conteneurs minimaux, avec peu ou pas de CVE, conçus pour répondre aux exigences de conformité, les équipes logicielles peuvent éviter les risques de sécurité et les maux de tête réglementaires du statu quo actuel en matière de conteneurs.
C'est l'occasion pour les éditeurs de logiciels de ne plus perdre le temps de leur personnel à gérer des CVE fastidieux et de ne plus avoir à construire et à entretenir leur propre flotte d'images de conteneurs fiables ou "en or", et de se consacrer à nouveau à l'innovation dans leur propre domaine d'activité.
Et pour les entreprises confrontées à un énorme cauchemar de conformité (par exemple, les entreprises qui maintiennent ou recherchent la conformité FedRAMP), c'est une chance de débloquer de nouveaux marchés plus rapidement et à moindre coût, avec moins de risque de ne plus être en conformité.
Bref, on se sent bien ici. Venez rejoindre la nouvelle fête des images de conteneurs durcis avec Chainguard.
Téléchargez le rapport et découvrez comment se présente le paysage actuel des images de conteneurs renforcés. Si vous souhaitez en savoir plus sur les solutions de Chainguard en matière d'images de conteneurs durcis, contactez notre équipe dès aujourd'hui.
Share this article
Articles connexes
- research
Engineers Want to Build, Not Maintain: Key Findings From Our 2026 Engineering Reality Report
Dustin Kirkland, SVP of Engineering
- research
The Hidden Costs of CVEs — And the Value You’re Leaving on the Table
Ed Sawma, VP of Product Marketing
- research
Mitigating malware in the python ecosystem with Chainguard Libraries
Aaditya Jain, Senior Product Marketing Manager
- research
Panic! At The Distro: A Study of Malware Prevention in Linux Distributions
Duc-Ly Vu, Trevor Dunlap, Paul Gibert, John Speed Meyers, and Santiago Torres-Arias
- research
Why AI developers are grumpy about containers
John Speed Meyers, Head of Chainguard Labs, and Dan Fernandez, Staff Product Manager
- research
FuzzSlice: Separating real CVEs from fakes through fuzzing
Aniruddhan Murali, Chainguard Labs Research Intern