« Il n’y a pas de meilleur moment pour amincir vos conteneurs logiciels que maintenant ! » Voilà comment pourrait-on qualifier la nouvelle fonctionnalité annoncée par Slim.AI, une startup spécialisée dans la sécurité de la chaîne d’approvisionnement logiciel. En effet, Slim.AI vient de lancer sa fonctionnalité d’automatisation du durcissement des conteneurs lors de la conférence KubeCon/CloudNativeCon Europe du CNCF.
Mais que fait réellement cette fonctionnalité ? Slim scanne automatiquement les conteneurs d’une entreprise à la recherche de vulnérabilités en supprimant les fichiers, bibliothèques et autres surfaces d’attaque inutiles. Et le tout intégré dans les pipelines CI/CD existants ! Résultat : des conteneurs plus petits et – vous l’aurez deviné – plus sécurisés.
L’origine de Slim.AI remonte à un projet open-source appelé Slim Toolkit (anciennement DockerSlim). Fort de 7 ans d’existence et de plus d’un million de téléchargements, ce projet a jeté les bases du durcissement et de l’analyse de la sécurité des conteneurs. C’est à partir de ces acquis que la startup a été fondée pour aller encore plus loin.
Slim.AI lance une fonctionnalité d’automatisation du durcissement des conteneurs pour optimiser et sécuriser davantage les conteneurs logiciels.
Lors de sa création en 2020, la société se concentrait davantage sur la fourniture d’une « machine à IRM pour conteneurs » permettant aux utilisateurs de savoir exactement ce qu’ils avaient dans leurs conteneurs et où se trouvaient les éventuelles failles de sécurité. Un outil précieux pour les développeurs, qui peuvent ainsi se concentrer sur les alertes de vulnérabilité réellement importantes.
Cependant, comme tout processus automatisé, il peut arriver que le système génère un conteneur manquant d’un fichier nécessaire. Pour pallier ce problème, Slim.AI offre non seulement beaucoup de données sur ce qui est fait pour chaque conteneur, mais également des contrôles manuels pour répéter les tests ou exclure certains fichiers.
Comme l’a souligné Kelly Fitzpatrick, analyste senior chez RedMonk, « alors que les équipes d’ingénierie sont de plus en plus chargées de la responsabilité de construire et de publier des logiciels sécurisés, le bon outillage devient essentiel ». C’est précisément là qu’intervient le durcissement automatisé des conteneurs de Slim.AI.
À noter que ce nouveau service est gratuit pour les utilisateurs de la plateforme de développement de Slim.AI. Néanmoins, les équipes qui prévoient de l’utiliser à grande échelle voudront sans doute contacter l’entreprise au sujet de son programme de partenariat de conception.
Source : Techcrunch