Analyse d'images de conteneurs
Qu'est-ce que Analyse d'images de conteneurs ?
Analyse d'images de conteneursPratique consistant a analyser des images OCI/Docker pour y reperer vulnerabilites connues, secrets, malwares et violations de politique avant deploiement vers un runtime de conteneurs.
L'analyse d'images de conteneurs inspecte chaque couche d'une image OCI — systeme de base, paquets de langage, binaires embarques et metadonnees — pour identifier les CVE connues, les identifiants en clair, les signatures de malware et les configurations non conformes. Les outils se repartissent en deux familles : scanners open source (Trivy d'Aqua Security, Grype d'Anchore, Clair et Docker Scout) et CNAPP commerciaux (Snyk Container, Prisma Cloud, Wiz, Sysdig Secure). Les analyses ont lieu typiquement en trois points : poste developpeur, pipeline CI (avec echec sur violation) et admission au registre. Les programmes modernes produisent egalement des SBOM signes qui alimentent des systemes d'attestation de chaine d'approvisionnement comme Sigstore et SLSA.
● Exemples
- 01
Faire echouer un job GitHub Actions quand l'image de base contient une vulnerabilite CVSS 9.8 dans openssl.
- 02
Bloquer le deploiement d'une image qui embarque un .npmrc fuite avec un jeton de publication npm.
● Questions fréquentes
Qu'est-ce que Analyse d'images de conteneurs ?
Pratique consistant a analyser des images OCI/Docker pour y reperer vulnerabilites connues, secrets, malwares et violations de politique avant deploiement vers un runtime de conteneurs. Cette notion relève de la catégorie Défense et opérations en cybersécurité.
Que signifie Analyse d'images de conteneurs ?
Pratique consistant a analyser des images OCI/Docker pour y reperer vulnerabilites connues, secrets, malwares et violations de politique avant deploiement vers un runtime de conteneurs.
Comment fonctionne Analyse d'images de conteneurs ?
L'analyse d'images de conteneurs inspecte chaque couche d'une image OCI — systeme de base, paquets de langage, binaires embarques et metadonnees — pour identifier les CVE connues, les identifiants en clair, les signatures de malware et les configurations non conformes. Les outils se repartissent en deux familles : scanners open source (Trivy d'Aqua Security, Grype d'Anchore, Clair et Docker Scout) et CNAPP commerciaux (Snyk Container, Prisma Cloud, Wiz, Sysdig Secure). Les analyses ont lieu typiquement en trois points : poste developpeur, pipeline CI (avec echec sur violation) et admission au registre. Les programmes modernes produisent egalement des SBOM signes qui alimentent des systemes d'attestation de chaine d'approvisionnement comme Sigstore et SLSA.
Comment se défendre contre Analyse d'images de conteneurs ?
Les défenses contre Analyse d'images de conteneurs combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Analyse d'images de conteneurs ?
Noms alternatifs courants : analyse d'images, scan de vulnerabilites de conteneurs.
● Termes liés
- defense-ops№ 1175
Trivy
Scanner open source mono-binaire d'Aqua Security qui detecte CVE, mauvaises configurations, secrets, SBOM et problemes de licence dans les images de conteneurs, les systemes de fichiers, les depots Git et les clusters Kubernetes.
- vulnerabilities№ 259
CVE (Common Vulnerabilities and Exposures)
Catalogue public attribuant un identifiant unique à chaque vulnérabilité divulguée afin de la référencer sans ambiguïté dans toute l'industrie.
- cloud-security№ 600
Sécurité de Kubernetes
Protection d'un cluster Kubernetes — son API server, son plan de contrôle, ses nœuds, ses workloads et son réseau — contre les mauvaises configurations, les compromissions et le mouvement latéral.
- appsec№ 1033
Sécurité shift-left
Pratique consistant à déplacer les activités de sécurité au plus tôt dans le cycle de vie logiciel afin de détecter et corriger les vulnérabilités avant la production.
● Voir aussi
- № 403Falco