00:00:0087 % des images sur Docker Hub contiennent des vulnérabilités critiques ou élevées.
00:00:04Alors, statistiquement, l'image que vous allez déployer ?
00:00:08Oui, elle est probablement vulnérable quelque part, d'une manière ou d'une autre.
00:00:11Et le plus effrayant, c'est que vous ne le remarquerez pas car tout se compile,
00:00:14tout fonctionne encore normalement. Jusqu'au jour où ça s'arrête.
00:00:16Voici Trivy, un outil open source qui trouve le problème en quelques secondes sans installation.
00:00:21Nous publions des vidéos régulièrement, alors n'oubliez pas de vous abonner.
00:00:29Trivy a explosé sur GitHub avec plus de 32 000 étoiles et son utilisation croît de jour en jour.
00:00:34On pourrait s'attendre à ce qu'un tel outil ne scanne que les conteneurs, mais non, il scanne tout.
00:00:40Conteneurs, systèmes de fichiers locaux, dépôts Git, Kubernetes, erreurs de configuration, etc.
00:00:45C'est même le scanner par défaut dans GitLab.
00:00:48C'est l'infrastructure.
00:00:50Dans les 30 prochaines secondes, je vais vous montrer comment l'utiliser.
00:00:53C'est assez simple pour être réellement exploitable au quotidien.
00:00:56Bon, pas d'installation ici. La seule chose que j'ai faite est de cloner leur dépôt Git,
00:01:00car ils ont des conteneurs de test que nous pouvons lancer pour un usage rapide.
00:01:04La seule autre chose à faire est d'ouvrir Docker.
00:01:07Maintenant, dans mon terminal VS Code, on peut juste coller cette ligne provenant de la doc.
00:01:12C'est tout ce qu'il y a à faire.
00:01:14Docker télécharge Trivy, l'exécute, scanne l'image officielle Nginx, et boum.
00:01:21Les vulnérabilités critiques s'afficheront ici s'il y en a.
00:01:26C'est là que ça devient précieux : dans un vrai pipeline CI/CD,
00:01:29vous ne voulez pas juste un rapport, vous voulez un arrêt immédiat du programme.
00:01:32S'il trouve une vulnérabilité critique, le code de sortie est 1,
00:01:36votre pipeline va échouer, et la compilation sera bloquée.
00:01:39On pense souvent que la sécurité ralentit le travail, mais Trivy change la donne.
00:01:45Cela vous fait gagner du temps en évitant de devoir faire un rollback plus tard.
00:01:49C'est bien, mais scanner les conteneurs est la partie la plus facile.
00:01:51Les vrais problèmes viennent souvent de ce que nous soumettons (commit).
00:01:54Les conteneurs c'est bien, mais du mauvais code, c'est pire.
00:01:57Scannons un Dockerfile catastrophique.
00:01:59Encore une fois, il se trouve simplement dans le dépôt Trivy.
00:02:01Ok, je vais me rendre dans le dossier “Trivy demo”.
00:02:03Vous voyez qu'il détecte les pratiques non sécurisées comme les images de base vulnérables,
00:02:07l'absence de directives utilisateur, les configurations privilégiées ou les dépendances obsolètes.
00:02:12Il va tout repérer pour nous.
00:02:14C'est ce qu'on veut en CI : avant la fusion (merge), pas après le déploiement.
00:02:18Parce qu'une fois fusionné, cela devient le problème de tout le monde.
00:02:22Maintenant, corrigez le Dockerfile et relancez le scan.
00:02:24Tout est propre et prêt à partir.
00:02:26Et si vous pensez que votre dépôt est trop gros, tant mieux.
00:02:30C'est précisément là que l'outil est le plus utile,
00:02:32même s'il existe d'autres outils dont je vais parler dans un instant.
00:02:35Analysons maintenant tout un dépôt.
00:02:38Scan du système de fichiers, dépendances, configurations... tout y passe.
00:02:41En utilisant ce dépôt, on peut vérifier si tout est relativement en ordre.
00:02:45Alors, comment cet outil s'intègre-t-il concrètement au quotidien ?
00:02:50On pourrait croire que c'est un outil de scan ponctuel, mais pas du tout.
00:02:54Trivy s'intègre là où vous travaillez déjà.
00:02:56En local, via l'extension VS Code. En CI, avec trois lignes de GitHub Actions.
00:03:02Et sur Kubernetes, l'opérateur Trivy scanne automatiquement chaque charge de travail du cluster.
00:03:07Il suffit d'une seule commande dans votre pipeline.
00:03:09Certains rapports montrent que les attaques sur la supply chain ont augmenté de 400 %.
00:03:12Les développeurs ont toujours eu un rôle en sécurité, et ceci les aide.
00:03:17Les meilleurs outils ne freinent pas, ils bloquent les problèmes en amont.
00:03:22Je trouve Trivy vraiment génial, mais est-il vraiment meilleur que les autres ?
00:03:26Parce qu'il y en a d'autres.
00:03:26Soyons honnêtes, il existe d'autres scanners sur le marché.
00:03:29Peut-être en utilisez-vous déjà certains.
00:03:31Il y a Grype, mais il ne gère que les conteneurs.
00:03:34Et il y a Snyk, mais c'est payant.
00:03:37Ce sont deux raisons pour lesquelles beaucoup se tournent vers Trivy.
00:03:41C'est rapide et c'est gratuit.
00:03:42Il gère les conteneurs, les secrets, les SBOM, Kubernetes, les fichiers, etc.
00:03:48C'est en quelque sorte un outil tout-en-un.
00:03:50Si vous venez de le découvrir, ou même si non, que pensez-vous de Trivy ?
00:03:53On se retrouve dans une prochaine vidéo.