Minimal - Collection d’images de conteneurs avec un minimum de vulnérabilités CVE

 (github.com/rtvkiz)
10 points par xguru 2026-02-03 | Aucun commentaire pour le moment. | Partager sur WhatsApp
  • Collection d’images de conteneurs légères conçues pour minimiser les vulnérabilités de sécurité (CVE) en environnement de production
  • Reconstruites chaque jour sur la base de apko de Chainguard et des paquets Wolfi afin d’intégrer les derniers correctifs de sécurité
  • Les paquets inutiles sont supprimés pour réduire au minimum la surface d’attaque, et la plupart des images ne contiennent que 0 à 5 CVE au maximum
  • Images disponibles pour les principaux runtimes et services comme Python, Node.js, Bun, Go, Nginx, HTTPD, Jenkins, Redis, PostgreSQL et SQLite
    • Chaque image s’exécute avec un utilisateur non root par défaut et n’inclut pas de shell
  • Conception centrée sur la sécurité
    • Si le CVE gate n’est pas validé, la build est marquée en échec
    • Signature basée sur cosign et génération automatique d’un SBOM (Software Bill of Materials)
    • Toutes les images peuvent être vérifiées via la signature keyless de Sigstore
  • Structure du pipeline de build
    • Paquets Wolfi → génération d’images OCI avec apko → scan CVE avec Trivy → signature et déploiement avec cosign + SBOM
    • Jenkins, Redis et d’autres sont intégrés après une build depuis les sources via melange
  • Méthode de mise à jour automatique et de maintenance
    • Build automatique tous les jours à 2 h UTC pour intégrer les derniers correctifs CVE
    • Déploiement automatique des changements de configuration lors des fusions dans la branche main
    • Prise en charge des reconstructions d’urgence via déclenchement manuel
  • Bénéfices en matière de sécurité et de conformité
    • Facilite les audits de sécurité et la conformité réglementaire comme SOC2, FedRAMP et PCI-DSS
    • Vitesse d’intégration des correctifs plus de 10 fois supérieure à Debian/Ubuntu (sous 48 heures)
    • Vérification des signatures et fourniture de SBOM pour renforcer la sécurité de la chaîne d’approvisionnement
  • Publication sous licence MIT
    • Les paquets tiers inclus dans chaque image indiquent leurs licences respectives, comme Apache-2.0, MIT, GPL et BSD
    • Les informations de licence de tous les paquets peuvent être consultées via le SBOM

À lire aussi

Aucun commentaire pour le moment.

Aucun commentaire pour le moment.