Aujourd'hui, nous annonçons la mise à disposition générale de Red Hat Hardened Images. Ce catalogue d'images de conteneurs sans frais distribue rapidement les correctifs de sécurité. Il aide les équipes à anticiper les CVE plutôt que de les traiter constamment en urgence. Nous avons pris en charge les tâches complexes de réduction et de renforcement des images. Vos équipes peuvent ainsi cesser de poursuivre les faux positifs pour se concentrer sur l'essentiel : votre code et la sécurité de vos applications.
Cette aventure a commencé dans le cadre du Project Hummingbird. Si vous avez suivi ce projet, vous nous avez vus affiner les contenus, les images et l'approche de distribution avec des centaines de personnes ayant bénéficié d'un accès anticipé. Ce projet, qui n'était au début qu'une expérience visant à réduire la surface d'attaque des conteneurs, constitue désormais un catalogue prêt pour la production de plus de 45 images déclinées en plus de 150 variantes, toutes basées sur le pipeline logiciel fiable de Red Hat. Project Hummingbird continuera de constituer le moteur d'innovation qui produit Red Hat Hardened Images.
Figure 1. Catalogue Red Hat Hardened Images
Le problème : Le volume de CVE face à la tolérance zéro
Nous avons lancé Project Hummingbird après avoir échangé avec des dizaines d'organisations. Un même constat revenait sans cesse : la sécurité des conteneurs constituait un gouffre financier chronophage.
Le nombre de CVE a explosé au-delà de ce que les équipes peuvent raisonnablement gérer. Actuellement, on dénombre en moyenne 160 CVE signalées chaque jour. Entre les scanners automatisés et les outils de découverte assistée par IA, ce nombre devrait continuer de croître. Une seule analyse de conteneur peut signaler des centaines de vulnérabilités. Identifier les vulnérabilités réellement critiques au sein d'un vaste parc de dizaines de milliers de conteneurs peut donner l'impression de faire du surplace.
La tolérance au risque diminue sous la pression des réglementations, de la géopolitique et de l'IA. Les cadres de conformité et les politiques de sécurité exigent de plus en plus que les équipes traitent chaque vulnérabilité signalée, qu'elle soit exploitable ou non. La présence de paquets et de dépendances inutiles dans les images de conteneur peut rendre ces exigences impossibles à respecter
La solution : Moins de surface, des corrections plus rapides
Red Hat Hardened Images aide les utilisateurs confrontés à la pression de cette nouvelle réalité. Une réduction du nombre de logiciels entraîne une diminution du nombre de CVE. Lorsque votre image contient uniquement les éléments nécessaires au fonctionnement de votre application, le triage se simplifie : si un élément figure dans l'image, il est important. Dans ce cas, notre pipeline hautement autonome fournit rapidement des correctifs.
Red Hat Hardened Images se concentre sur les technologies pour lesquelles Red Hat dispose d'un engagement en amont et d'une expérience en production afin de fournir une assistance pertinente. Le catalogue en disponibilité générale (GA) comprend les langages, les environnements d'exécution, les bases de données, les serveurs web et les utilitaires qui alimentent les charges de travail d'entreprise, notamment Python, Node.js, Go, Java, .NET, PostgreSQL, Valkey, Nginx et HAProxy. Ces éléments constituent les composants open source de base que les entreprises considèrent comme essentiels pour leurs applications.
Le développement de ce catalogue s'effectue de manière délibérée. L'ajout d'une nouvelle image constitue un engagement à suivre de près la technologie principale ainsi que toutes les dépendances et vulnérabilités pertinentes, afin de fournir une assistance avec la même rigueur que pour le reste du catalogue. La qualité prime sur la quantité.
Chaque image suit une approche de renforcement cohérente :
- Architecture distroless : Les images n'incluent aucun shell par défaut, aucun gestionnaire de paquets ni aucun composant inutile qui étend la surface d'attaque.
- Plusieurs variantes : Les images par défaut visent à trouver l'équilibre entre les principes distroless et la compatibilité avec les images en amont existantes. Les images de build conservent le renforcement et permettent l'installation de paquets pour faciliter la personnalisation des builds. Il existe également des variantes validées FIPS pour les environnements réglementés, ainsi que des builds spécifiques à une architecture (AMD64 et Arm64) pour différentes cibles de déploiement.
- Renforcement global : Le renforcement concerne tous les aspects des images, de la provenance des sources aux options du compilateur, en passant par les paramètres de sécurité par défaut et la minimisation globale. Le renforcement de la sécurité est réalisé à tous les niveaux et la configuration liée à la conformité peut être vérifiée via OpenSCAP.
- Chaîne d'approvisionnement fiable : Les dépendances proviennent du pipeline de construction SLSA3 de Red Hat, ce qui permet de maintenir une chaîne de confiance vérifiable depuis la source jusqu'à l'artéfact.
- Correction automatisée : Nos pipelines suivent les flux en amont et de sécurité afin de créer, de tester et de fournir des correctifs, généralement dans les heures qui suivent la résolution d'une vulnérabilité.
Essayez les Red Hat Hardened Images dès aujourd'hui
Red Hat Hardened Images est désormais disponible. Chaque image du catalogue est gratuite et peut être utilisée sur n'importe quelle distribution Linux, version de Kubernetes ou moteur de conteneurs. Si vous recherchez des images spécifiques qui ne sont pas proposées actuellement, veuillez nous en informer via le bouton « Demander une image » sur le site web.
Certaines personnes ont également besoin d'un cycle de vie plus long que ce que proposent actuellement les projets en amont. Dans un avenir proche, nous prévoyons de proposer des images avec prise en charge à long terme (LTS) pour répondre à ces besoins. L'option LTS sera facultative et disponible via un modèle de souscription simple.
Nous remercions les centaines de personnes ayant participé à l'accès anticipé qui ont testé ces images, signalé des problèmes et nous ont poussés à affiner notre approche. Vos commentaires ont façonné la solution publiée aujourd'hui.
Les personnes qui découvrent Red Hat Hardened Images peuvent commencer par explorer le catalogue.
Essai de produit
Red Hat Enterprise Linux | Essai de produit
À propos des auteurs
Ben Breard is a Senior Principal Product Manager at Red Hat, focusing on Red Hat Enterprise Linux and Edge Offerings.
Robert is a Software Engineer at Red Hat, building Hardened Images and playing with all things cloud and containers.
Plus de résultats similaires
(Nouvelle) présentation de l'image de base universelle Red Hat
Découvrez les coulisses de Red Hat Enterprise Linux 10 (partie 4)
The Containers_Derby | Command Line Heroes
Can Kubernetes Help People Find Love? | Compiler
Parcourir par canal
Automatisation
Les dernières nouveautés en matière d'automatisation informatique pour les technologies, les équipes et les environnements
Intelligence artificielle
Actualité sur les plateformes qui permettent aux clients d'exécuter des charges de travail d'IA sur tout type d'environnement
Cloud hybride ouvert
Découvrez comment créer un avenir flexible grâce au cloud hybride
Sécurité
Les dernières actualités sur la façon dont nous réduisons les risques dans tous les environnements et technologies
Edge computing
Actualité sur les plateformes qui simplifient les opérations en périphérie
Infrastructure
Les dernières nouveautés sur la plateforme Linux d'entreprise leader au monde
Applications
À l’intérieur de nos solutions aux défis d’application les plus difficiles
Virtualisation
L'avenir de la virtualisation d'entreprise pour vos charges de travail sur site ou sur le cloud
