Répondre à l'obligation de zéro CVE : comment Chainguard aide les entreprises à livrer des logiciels sécurisés auxquels les clients font confiance
Les entreprises modernes sont confrontées à une nouvelle réalité : vos clients ne veulent pas seulement que votre produit numérique soit riche en fonctionnalités. Ils s'attendent à ce que la sécurité soit vérifiable, qu'elle soit totalement transparente et qu'elle soit prête à passer leurs propres examens de sécurité avant même d'être mise en production. Ces exigences sont particulièrement aiguës pour les déploiements à l'intérieur du périmètre d'un client (auto-hébergement ou nuage public), les agents packagés et les logiciels intégrés dans les environnements réglementés des clients.
Le maintien d'un haut niveau de sécurité dans ces environnements et ces cas d'utilisation représente à la fois une carotte et un bâton pour les équipes d'ingénierie, de conformité et de GTM. L'expédition de logiciels transparents et sécurisés par défaut peut constituer un facteur de différenciation et de confiance essentiel pour les grandes entreprises clientes, en accélérant les processus d'approvisionnement et en apaisant les craintes de risques internes. Pour les startups et les entreprises de taille moyenne, une approche solide de la sécurité de la chaîne d'approvisionnement en logiciels permet de démontrer que l'offre est prête pour l'entreprise. Inversement, si vous ne pouvez pas prouver ce que contient votre logiciel et qu'il est exempt de vulnérabilités connues, vous risquez de perdre des marchés, de retarder les achats ou de compromettre les renouvellements.
La nouvelle ligne de base : Des logiciels transparents et sans risque pour la vie privée
Dans le passé, une simple politique de divulgation des vulnérabilités et une fenêtre de correctifs suffisaient à satisfaire la plupart des équipes de sécurité des clients. Ce n'est plus le cas.
Aujourd'hui, de plus en plus d'équipes chargées de la sécurité et de la conformité imposent des exigences telles que :
Zéro CVE connu au moment de la livraison
SBOMs (Software Bill of Materials) vérifiables
Attestations de provenance prouvant comment et quand le logiciel a été construit
Compatibilité avec les outils de sécurité internes
Cette évolution n'est pas hypothétique. Selon Sonatype, 60 % des entreprises exigent un SBOM dans le cadre de leur processus d'achat, tandis que Gartner a constaté que la sécurité des logiciels était le premier facteur de sélection d'un produit pour les organisations, juste après le prix.
Cette attente de pratiques de sécurité rigoureuses et d'une provenance claire peut s'avérer difficile dans un monde logiciel dépendant d'artefacts open source, qui représentent plus de 70 % de la base de code d'une application donnée.
Pour les entreprises qui créent des applications modernes, natives pour le cloud, qui servent des secteurs très réglementés ou qui ont un agent sur site ou un logiciel intégré, il y a un certain nombre de défis à relever :
Les dépendances open source ont une provenance obscure. De nombreuses images de conteneurs sont construites à partir de bases fournies par la communauté sans attestations cryptographiques.
Les images de base traditionnelles sont accompagnées d'un flux constant de nouvelles CVE. Même si vous essayez d'appliquer des correctifs manuellement, les vulnérabilités s'accumulent plus vite que vous ne pouvez les corriger.
Les scanners de sécurité ont souvent du mal à tout détecter dans les images non standard. Si vos images ne peuvent pas être analysées par les outils de vos clients, votre marché risque d'être bloqué.
Les exigences de sécurité des clients sont différentes. Essayer de jongler avec les différentes exigences des clients peut s'avérer difficile et conduire à des remaniements.
Même si une équipe de développeurs tente de remédier manuellement à la situation, les coûts et la charge de travail peuvent être considérables. La propre analyse de Chainguard, basée sur les estimations de bricolage des clients, montre que le coût de la remédiation CVE initiale pour une image donnée peut s'élever à 74 000 dollars, le coût de la maintenance CVE continue pouvant atteindre 91 000 dollars par an. En outre, les équipes chargées de la sécurité et de la plateforme peuvent se retrouver à traiter les demandes réactives des clients concernant les vulnérabilités trouvées dans les images, ce qui entraîne des heures de travail non planifiées.
Comment Chainguard permet d'obtenir des logiciels à sécurité vérifiable et sans risque (Zero-CVE)
Chainguard a été conçu pour aider les organisations qui proposent des produits numériques à fournir des images de conteneurs sécurisées par défaut qui répondent aux exigences les plus strictes des clients :
Conteneurs de base zéro-CVE
Chainguard maintient l'ensemble d'images de conteneurs de confiance le plus complet du secteur, avec zéro vulnérabilité connue au moment de la publication. Les images des conteneurs sont reconstruites quotidiennement pour maintenir cette position, afin que vous puissiez expédier en toute confiance sans dépendre d'un backporting bricolé ou d'un correctif d'urgence.
Cela ne s'arrête pas aux images de base. Elle s'étend également aux cartes Helm et aux images d'applications, de sorte que des réductions immédiates de CVE sont possibles grâce à des images de remplacement presque instantanées. Le résultat d'une ligne de base zéro-CVE signifie qu'une équipe de plateforme ou d'AppDev ne sera jamais obligée de jongler avec plusieurs lignes de base de sécurité : une remédiation complète répond à toutes les attentes.
Provenance vérifiable et SBOM
Chaque image de conteneur Chainguard comprend des attestations signées prouvant ce qui a été construit, quand et par qui. Des SBOM détaillés sont publiés avec chaque version, ce qui permet de passer facilement les audits des clients et de répondre aux exigences d'approvisionnement dès la sortie de l'emballage.
Large compatibilité
Les images de conteneurs Chainguard sont testées par les scanners tiers les plus courants, y compris Aqua, Crowdstrike, Grype, Orca, Prisma, Trivy, Wiz et d'autres, de sorte que vos clients peuvent les valider en utilisant leurs outils préférés sans friction.
Les images de conteneurs Chainguard fonctionnent dans les environnements des clients, qu'il s'agisse des principaux fournisseurs de services en nuage ou de machines locales, afin de permettre aux organisations d'adopter et de déployer les images de conteneurs Chainguard à chaque étape de leur processus SDLC.
Custom Assembly pour des images sur mesure
Besoin d'une base spécialisée ? Custom Assembly est une fonctionnalité incluse dans Chainguard Containers, permettant aux utilisateurs de créer des images de conteneurs personnalisées avec des packages supplémentaires. Cela permet aux clients de réduire leur exposition au risque en créant des images de conteneurs adaptées à leur organisation interne et aux exigences de leurs applications, tout en conservant les mêmes garanties de zéro-CVE, de provenance et de scannabilité.
GitGuardian, client de Chainguard, a dû faire face à des pressions de la part de ses clients pour fournir des images zéro-CVE et s'est tourné vers Chainguard pour résoudre le problème. Les avantages ont été immédiatement évidents puisque GitGuardian a constaté une réduction drastique des CVE, les éliminant de 100%. Ils sont passés de nombreuses vulnérabilités critiques et élevées à un état où ces vulnérabilités étaient littéralement inexistantes, en plus d'une réduction de 33% de la taille de l'image.
"La sécurité est dans l'ADN de GitGuardian", a déclaré Romain Jouhannet, Sr. Product Manager. "Chainguard a pris tout son sens lorsque nous avons commencé à chercher comment rationaliser et nous assurer que nous ne livrons pas nos logiciels avec des vulnérabilités, car c'est une partie importante de notre histoire.
Transformer la sécurité en avantage concurrentiel
Lorsque vous commencez avec Chainguard Containers, vous ne vous contentez pas de cocher une case. Vous pouvez accélérer les cycles d'approvisionnement en répondant d'emblée aux exigences des clients, réduire le temps et les coûts consacrés à la remédiation et aux audits, et renforcer votre image de marque grâce à une sécurité transparente et vérifiable.
Dans un environnement où la confiance est l'ultime facteur de différenciation, c'est ainsi que vous vous distinguerez.
Prêt à voir comment Chainguard peut vous aider à fournir des logiciels sécurisés par défaut auxquels les clients font confiance ? Contactez notre équipe pour en savoir plus.
Share this article
Articles connexes
- security
Secure-by-default: Chainguard customers unaffected by the Trivy supply chain attack
Reid Tatoris, VP of Product
- security
Going deep: Upstream distros and hidden CVEs
Chainguard Research
- security
Chainguard + Second Front: A faster, more secure path into government markets
Ben Prouty, Principal Partner Sales Manager, Chainguard, and Veronica Lusetti, Senior Manager of Partnerships, Second Front
- security
This Shit is Hard: The life and death of a CVE in the Chainguard Factory
Patrick Smyth, Principal Developer Relations Enginee
- security
npm’s update to harden their supply chain, and points to consider
Adam La Morre, Senior Solutions Engineer
- security
Protect your AI workloads from supply chain attacks
Anushka Iyer, Product Marketing Manager