Existe-t-il un service qui fournit des images Docker certifiées et sécurisées pour les plates-formes courantes telles que Python, PHP, Node, Java, etc. avec 0 CVE majeur/critique.
Actuellement, nous utilisons ceux de RedHat mais le problème est que, même si je numérise l'image fournie par RedHat avec un niveau A (signifie propre), via la base de données CVE du registre de confiance Docker, j'ai trouvé au moins 50 CVE critiques et plus de 50 principaux CVE dans leur; par conséquent, je ne peux pas établir de ligne de base au-dessus de laquelle je peux analyser les applications ajoutées par l'utilisateur pour les CVE et je pourrais décider d'échouer au test d'analyse de sécurité.
Nous avons besoin de ce type de service pour établir un pipeline de création d'images sécurisé, afin de ne pas commencer à ignorer les CVE au niveau de l'application, une fois que nous avons corrigé tous les CVE dans les images de base ou obtenu des images de base dans lesquelles tous les CVE sont corrigés. régulièrement, nous pourrons alors décider clairement et automatiquement que le CVE est dû à l'application et cesser de promouvoir l'image dans le pipeline.
Je considérerais le Center For Internet Security (CIS) Benchmarks comme l'étalon-or actuel pour le durcissement.
.
Les références CIS pour Docker peuvent être trouvées ici .
Un exemple de durcissement open source (il y en a beaucoup) peut être trouvé ici .
Docker propose alors le script suivant pour vérifier que les modifications ont bien été effectuées.
Les seules images qui ont une forme d'assurance sur Docker Hub sont les images "officielles" maintenues par Docker.
Cependant, il est important de reconnaître que les responsables ont adopté l'approche qu'ils ne vont pas nécessairement mettre à jour l'image pour chaque CVE publié (plus ici )
Si vous voulez des images propres du scanner CVE, je recommanderais quelque chose comme
Et ensuite, exécutez ce processus aussi régulièrement que nécessaire pour maintenir une image propre.
AFAIK personne n'a produit d'images durcies certifiées après cela.