Trouver et corriger les vulnérabilités dans les images de conteneurs

L'analyse des images de conteneurs consiste à analyser les images de conteneurs que vous avez créées (images Docker, etc.) pour y déceler des problèmes de sécurité avant de les déployer. Même si vous analysez votre code source et vos dépendances, vos images de conteneurs peuvent inclure d'autres composants - comme des paquets OS, des serveurs web ou OpenSSL - qui pourraient présenter des vulnérabilités. En résumé, l'analyse du code couvre le code de votre application, mais l'analyse du conteneur couvre l'environnement dans lequel votre code s'exécute. C'est important parce qu'une application sécurisée peut toujours être compromise si l'image de base ou les bibliothèques système sur lesquelles elle s'exécute présentent des failles connues.

Oui, le scanner de conteneurs d'Aikidos examine tout ce qui se trouve à l'intérieur des couches d'images. Il inventorie les paquets du système d'exploitation, les bibliothèques et les autres composants de votre conteneur et les compare aux bases de données de vulnérabilités pour détecter les CVE connus. Il ne s'arrête pas non plus aux paquets du système d'exploitation : il signale également les logiciels obsolètes, les logiciels malveillants potentiels et même les risques liés aux licences dans l'image. En résumé, si votre image contient un paquetage vulnérable (qu'il s'agisse d'une bibliothèque au niveau du système d'exploitation ou d'une dépendance d'application intégrée à l'image), Aikido le détectera.

Aikido peut aider à automatiser les correctifs pour les images de conteneurs. La plateforme comprend une fonction AI AutoFix qui peut suggérer et même appliquer des mises à niveau à votre configuration de conteneur - par exemple, elle peut recommander une image de base corrigée ou mettre à jour une version de paquetage et peut générer un PR de correction pour vous. En pratique, vous obtenez un bouton "fix this" pour de nombreuses vulnérabilités d'image, qui ajustera votre fichier Docker ou la configuration de l'image pour remédier aux problèmes, vous évitant ainsi d'effectuer ces mises à niveau manuellement.

L'intégration est simple : vous pouvez intégrer l'analyse des conteneurs d'Aikido comme une étape de votre pipeline CI/CD (il existe des plugins et des jetons d'intégration pour des services tels que GitHub Actions, GitLab CI, Jenkins, etc.) Par exemple, après avoir construit votre image Docker, vous pouvez invoquer Aikido pour analyser cette image, et il vous signalera tout problème avant que vous ne la poussiez en production. Aikido a été conçu pour s'intégrer dans les pipelines avec un minimum d'effort (il commence donc à analyser vos images dès le premier jour sans beaucoup de configuration personnalisée). Dans un workflow Kubernetes, l'approche typique est de scanner les images pendant le CI (avant qu'elles n'atteignent le cluster), ou vous pouvez connecter Aikido à votre registre de conteneurs pour qu'il scanne automatiquement les nouvelles images que vous marquez pour le déploiement.

En plus d'analyser vos images lors de leur construction (dans le pipeline CI/CD), Aikido peut analyser en continu les images stockées dans les registres de conteneurs les plus répandus. Cela permet de s'assurer que les vulnérabilités nouvellement découvertes font surface même après la construction des images.

Il détecte un large éventail de problèmes dans les images de conteneurs. Il s'agit notamment des vulnérabilités CVE connues dans les paquets et les bibliothèques du système, des versions logicielles obsolètes (par exemple, un paquetage de système d'exploitation ou un runtime qui a dépassé sa fin de vie), des composants malveillants ou compromis (logiciels malveillants) et même des problèmes de licence open-source présents dans l'image. En d'autres termes, tout peut être signalé, qu'il s'agisse d'une faille critique du noyau Linux ou d'une bibliothèque dont la licence n'est pas autorisée. L'objectif est de faire apparaître tous les risques pertinents cachés dans votre image, et pas seulement les "vulnérabilités" évidentes.

Le scanner de conteneurs d'Aikido se concentre sur les vulnérabilités, les logiciels obsolètes et les logiciels malveillants. Il ne détecte pas directement les secrets intégrés ou les mauvaises configurations. Cependant, Aikido inclut des scanners distincts pour les secrets (par exemple, les clés AWS laissées dans les fichiers) et les mauvaises configurations (via l'analyse IaC), qui complètent l'analyse des conteneurs. Ainsi, tandis que le scanner de conteneurs signale les CVE et les risques au niveau du système, les secrets et les problèmes de configuration sont détectés par d'autres outils au sein de la plateforme Aikido.

Aikido élimine le bruit en effectuant un tri automatique des problèmes, ce qui réduit la fatigue des alertes. Contrairement à Trivy, qui répertorie chaque CVE, Aikido signale ce qui est réellement exploitable ou à haut risque. Par rapport à Snyk, Aikido offre une plateforme unifiée avec SAST, DAST, et plus encore - le tout dans une seule interface. Il inclut également des correctifs en un clic et des informations privées sur les menaces pour une couverture plus approfondie que celle généralement fournie par l'un ou l'autre des outils.

Aikido est 100% sans agent. Il analyse les images en extrayant les couches directement de votre registre de conteneurs ou via l'intégration CLI/CI. Il n'y a rien à installer sur votre infrastructure ou dans les conteneurs. Pour les environnements plus stricts, il existe une option sur site, mais elle ne nécessite toujours pas d'agents d'exécution.

Oui. Aikido utilise l'analyse de l'accessibilité et la priorisation contextuelle pour filtrer le bruit et les faux positifs. Il regroupe les problèmes en double, met en évidence ce qui est exploitable et ajuste la gravité en fonction de facteurs tels que l'environnement (par exemple, la production). Ainsi, vous vous concentrez sur ce qui compte le plus.

Aikido prend en charge la plupart des principaux registres : Docker Hub, AWS ECR, GCP, Azure, GitHub Packages, GitLab, Quay, JFrog, Harbor, etc. Que vous soyez dans le cloud ou sur site, Aikido peut se connecter en toute sécurité et scanner vos images de conteneurs avec une configuration minimale.