En bref : Aikido prend Aikido en charge les images Docker Hardened. Une analyse qui renvoyait auparavant des centaines de CVE se réduit désormais à une poignée de vulnérabilités réellement concernées, car les attestations VEX de Docker filtrent tout ce qui a été vérifié comme non exploitable. Aucune configuration supplémentaire n'est requise.
Le service sécurité des conteneurs un problème de bruit
Vous analysez une image de conteneur et obtenez une liste de 50, 100, voire parfois plusieurs centaines de CVE. Vous en ouvrez quelques-unes. Certaines semblent inquiétantes. La plupart ne sont pas pertinentes. Certaines ont déjà été corrigées par le responsable de l'image. D'autres se trouvent dans des parties de l'image qui ne sont en réalité jamais accessibles dans votre environnement. Mais votre outil n'en sait rien. Il signale simplement tout et vous renvoie le problème.
Du coup, vous passez votre après-midi à faire le tri au lieu de vous occuper des livraisons. Vous essayez de déterminer quelles alertes sont vraiment importantes. Vous fermez celles qui semblent présenter peu de risque. Vous mettez en veille celles dont vous vous occuperez « plus tard ». Et puis, la semaine suivante, tout recommence.
Ce n'est pas un problème de sécurité. C'est un problème de rapport signal/bruit. Et c'est l'une des principales raisons pour lesquelles les développeurs finissent par ne plus faire confiance à leurs outils de sécurité. Quand tout est signalé, plus rien ne semble urgent. C'est une situation dangereuse.
Qu'est-ce qu'une image Docker Hardened ?
Les images Docker Hardened sont conçues sur mesure, souvent sans distribution, et ne contiennent que les logiciels nécessaires à la charge de travail. Leur surface d'attaque est intrinsèquement réduite et, dans de nombreux cas, les correctifs y sont appliqués plus rapidement que dans les versions en amont. Elles offrent également un atout que la plupart des images de base ne possèdent pas : les attestations VEX.
VEX signifie « Vulnerability Exploitability eXchange ». Il s'agit d'un moyen standard permettant aux responsables de la maintenance des images d'indiquer quelles vulnérabilités CVE ne sont pas réellement exploitables dans une image spécifique, et pourquoi. Il se peut que le composant vulnérable ne soit pas présent dans cette version. Il se peut également que le chemin d'exécution qui rendrait la vulnérabilité dangereuse n'existe pas dans ce contexte. Docker effectue cette analyse et publie les résultats pour chaque image sécurisée dont il assure la maintenance.
Ils analysent l'image, détectent une vulnérabilité CVE dans un paquet et la signalent systématiquement. Vous adoptez donc une image plus sécurisée, lancez votre première analyse, et votre flux s'affiche en rouge. Il y a plus d'alertes qu'auparavant. On dirait que vous avez aggravé la situation, alors que c'est exactement le contraire.
Comment Aikido cette question
Lorsque Aikido une image Docker Hardened dans votre registre, il récupère la SBOM signée SBOM avec l'image afin d'obtenir une vision précise de son contenu, puis recoupe ces informations avec les attestations VEX de Docker pour déterminer ce qui est réellement exploitable. Toute vulnérabilité que Docker a marquée comme corrigée, non affectée ou ne nécessitant pas de triage est supprimée avant même d'atteindre votre flux.
.png)
Les vulnérabilités masquées ne disparaissent pas pour autant. Elles apparaissent dans l'onglet « Ignorées », ce qui vous permet d'avoir en permanence une vue d'ensemble complète des éléments détectés et de ceux qui ont été filtrés.
Cliquez sur l'un d'entre eux et Aikido vous Aikido le raisonnement complet ainsi que la vérification effectuée par Docker, directement dans l'onglet.
%20(1).png)
.png)
Pour les équipes chargées de la sécurité et de la conformité, cela signifie que vous disposez d'une justification documentée et vérifiable lorsqu'un auditeur vous demande pourquoi une vulnérabilité CVE n'a pas été traitée.
Aucune configuration. Sérieusement.
Il n'y a rien d'autre à configurer. Connectez-vous à votre registre Docker Hub, analysez une image sécurisée, et Aikido automatiquement du reste en arrière-plan. Si vous êtes déjà connecté à Docker Hub dans Aikido, tout fonctionne déjà pour vous.
Si vous ne vous êtes pas encore connecté, cela ne prendra que deux minutes environ. Rendez-vous dans Paramètres > Conteneurs, cliquez sur « Se connecter au registre », sélectionnez Docker Hub, puis saisissez votre espace de noms et un jeton d'accès en lecture seule. C'est tout. Aikido vos dépôts et toutes les images Docker Hardened que vous exécutez bénéficieront automatiquement d'une analyse VEX complète à chaque scan.
Une sécurité adaptée aux développeurs
La lassitude face aux alertes est bien réelle. Lorsque votre outil de sécurité crie au loup à chaque analyse, vous finissez par ne plus y prêter attention. Et lorsque vous ne prêtez plus attention, de véritables problèmes passent inaperçus.
Connectez votre registre Docker Hub et découvrez à quoi ressemble votre flux lorsqu'il ne vous montre que ce qui compte vraiment.
Découvrez les images Docker Hardened ici → https://integrations.aikido.dev/integrations/docker-hub
Rejoignez-nous en direct le 25 juin pour découvrir l'intégration Aikido Docker en action.
