Les entreprises manquent de visibilité sur le devenir de leurs images de conteneurs une fois qu'elles quittent leurs environnements contrôlés. Aujourd'hui, BigID met à disposition en open source un outil d'exploration d'images de conteneurs prêt pour la production afin d'aider les équipes de sécurité à surveiller les registres publics et à réduire les risques liés à la chaîne d'approvisionnement.
Pourquoi nous l'avons construit
Il y a deux ans, nous avons entrepris de résoudre un problème croissant : l’apparition de copies non autorisées d’images de conteneurs BigID dans des registres publics tels que DockerHub, AWS ECR Publicet Quay.io.
Nous n'avons pas pu détecter ces expositions de manière fiable. Découverte Cela dépendait du hasard. Il fallait que quelqu'un trouve manuellement une image publique.
Ce manque de visibilité engendrait des risques pour la propriété intellectuelle et des failles de sécurité potentielles. Nous avions besoin d'une solution évolutive pour surveiller l'emplacement de nos images de conteneurs et vérifier si elles avaient été modifiées.
Ce que nous lançons
Aujourd'hui, nous publions en open source un outil d'exploration d'images de conteneurs prêt pour la production, conçu pour l'extensibilité et la mise à l'échelle.
Toute organisation peut le déployer pour surveiller les images de conteneurs sur les registres publics.
Dès sa sortie de l'emballage, le robot d'exploration effectue les analyses suivantes :
- Galerie publique AWS ECR
- DockerHub
- Quay.io
L'architecture utilise un système basé sur des plugins. Les équipes peuvent rapidement étendre la couverture à des registres supplémentaires tels que :
- Registre de conteneurs GitHub
- GitLab
- registres privés
Cette flexibilité permet aux équipes de sécurité d'adapter la surveillance à leurs environnements spécifiques.
Pourquoi c'est important
Les images de conteneurs non autorisées présentent bien plus qu'un risque lié à la propriété intellectuelle. Elles créent une faille de sécurité dans la chaîne d'approvisionnement.
Les attaquants peuvent modifier des images légitimes et les republier. Les utilisateurs en aval doivent ensuite déterminer si une image est fiable ou si elle a été altérée.
Sans surveillance continue, Les organisations découvrent souvent ces risques trop tard, une fois les images déjà extraites et utilisées.
La plupart des équipes s'appuient encore sur la recherche manuelle ou sur des rapports externes. Cette approche n'est pas viable à grande échelle.
D'un outil interne à un logiciel libre
Nous utilisons ce robot d'exploration en production depuis deux ans. Il nous offre une visibilité constante sur la distribution non autorisée d'images et nous permet de réagir plus rapidement.
En le rendant open source, nous visons à :
- Réduire les obstacles à la surveillance des images des conteneurs
- Aidez les équipes de sécurité à réduire les risques liés à la chaîne d'approvisionnement
- Permettre des améliorations plus larges menées par la communauté
Commencer
Le dépôt est maintenant disponible sur GitHub.
Déployez-le, développez-le et enrichissez-le. Si vous créez quelque chose d'utile, nous vous invitons à contribuer au projet.
