Les applications sur les piles les plus variées subissent de plus en plus des attaques liées à la chaîne d’approvisionnement, avec de nombreux incidents où des packages malveillants ont été ajoutés par inadvertance aux dépendances d’un projet, des vulnérabilités signalées dans des paquets et des images Docker, parmi d’autres variations liées à ces types d’occurrences. L’OWASP Top 10, dans sa version la plus récente (2025), classe les attaques de la chaîne d’approvisionnement à la troisième place :
https://owasp.org/Top10/2025/0x00_2025-Introduction/
Appuyez sur Entrée ou cliquez pour afficher l’image en taille réelle
Envisageant plus précisément le monde des applications/services conteneurisés et un besoin accru de sécurité dans le milieu professionnel, Docker, Inc a lancé, dès le mois de mai 2025, un nouveau service : Docker Hardened Images (DHI)… Il s’agit d’une solution avec un vaste catalogue d’images et de charts Helm (plus de 1000 actuellement), des artefacts optimisés visant une sécurité renforcée :
https://www.docker.com/products/hardened-images/
Ces optimisations comprennent une surface d’attaque réduite grâce à l’emploi de distributions basées sur Alpine ou Debian, ainsi que la suppression des composants non essentiels au sein de ces images. Il existe aussi un effort continu pour diminuer au maximum le nombre de CVEs (Common Vulnerabilities and Exposures) présents dans ces images, afin d’assurer une sécurité accrue lors de leur utilisation.
Nous avons eu une excellente nouvelle concernant Docker Hardened Images à la date du 17/12/2025 (un mercredi) -> l’utilisation de DHI est devenue gratuite, sous licence Apache 2.0 et permettant une sécurité accrue des applications conteneurisées dès l’étape de build :
https://www.docker.com/blog/docker-hardened-images-for-every-developer/
Appuyez sur Entrée ou cliquez pour afficher l’image en taille réelle
Quoi qu’il en soit, il subsistera encore une couche payante (Enterprise) avec des fonctionnalités plus avancées et qui vont au-delà de celles proposées comme alternative open source.
