Red Hat et Black Duck Software, un éditeur spécialisé dans le développement de solutions automatisées pour la sécurité et l’administration de logiciels Open Source, ont annoncé leur collaboration à la conception conjointe d’un modèle fiable et sécurisé de conteneurs applicatifs.

Ce modèle vise à garantir la fourniture de conteneurs applicatifs certifiés, sans vulnérabilités connues. Cette avancée pour la démocratisation des conteneurs d’applications dans les entreprises associera les technologies et des services de conteneurisation de Red Hat, notamment sa plateforme Atomic Enterprise Platform et sa stratégie de certification, ainsi que sur les technologies de Black Duck pour l’identification et la notification proactive des vulnérabilités Open Source.

Les conteneurs sont rapidement devenus la plateforme de choix pour fournir aux professionnels du développement, du test et du déploiement d’applications un environnement d’exploitation simple et rapide à utiliser, toutes les technologies que l’on place dans l’appellation DevOps.

Mais la technologie peine encore à convaincre les entreprises faute de garanties de sécurité suffisantes, sur la provenance, la certification, la conformité et la fiabilité du code notamment. 60 % des professionnels IT interrogés dans le cadre d’une étude mondiale de TechValidate pour Red Hat citent en effet les niveaux insuffisants de sécurité, de certification et de traçabilité de la provenance des images comme principaux freins à l’adoption des conteneurs.


Les feins au déploiement des conteneurs

  • La sécurité et le manque de certification sur la provenance des images (60 %)
  • L’intégration avec les outils de développements et les processus (58 %)
  • Administration (55%)
  • Compétences et expertises (54%)

(Source : enquête Techvalidate auprès de 400 décideurs des Fortune 500)


 

Une autre étude réalisée en mai 2015 par BanyanOps enfonce le clou en révélant que plus de 30 % des images officielles de Docker Hub présentent de graves failles sécuritaires. Conclusion : les processus de développement, de déploiement et d’administration des conteneurs doivent absolument intégrer des systèmes sophistiqués d’inspection des conteneurs (Deep Container Inspection, DCI), ainsi que des technologies de vérification et de certification. C’est l’objectif de la collaboration entre Black Duck et Red Hat.

Dans un premier temps Red Hat et Black Duck Software prévoient d’intégrer Black Duck Hub, le logiciel d’analyse de conteneurs et d’identification des failles de sécurité Open Source de Black Duck, à OpenShift, l’offre PaaS de Red Hat, afin que les données et les rapports relatifs aux failles potentiellement présentes dans les images des conteneurs puissent être enregistrés dans le référentiel d’OpenShift, qui recense toutes les images de conteneurs validées comme sûres et fiables par Red Hat.

Le hub de Black Duck repose sur KnowledgeBase, une base de données couvrant 1,1 million de projets Open Source, qui détaille plus de 100 000 failles Open Source repérées au sein de quelque 350 milliards de lignes de code.

Black Duck Hub identifie et inventorie le code Open Source des applications, recherche des correspondances avec toute faille de sécurité Open Source connue et contrôle l’inventaire en permanence pour signaler toute nouvelle vulnérabilité affectant le code.

OpenShift est la plateforme web-scale d’applications conteneurisées pour entreprises construite à base de conteneurs Linux au format Docker, d’orchestration Kubernetes et de Red Hat Enterprise Linux 7. Associée à Black Duck Hub et à ses technologies de validation/certification de code, elle permet aux entreprises d’utiliser, de développer et d’exécuter des applications conteneurisées en toute confiance et sécurité.

Red Hat et Black Duck envisagent de proposer aux développeurs d’applications, notamment aux éditeurs de logiciels indépendants (ISV), les technologies Black Duck sous la forme de services complémentaires dans le processus de certification de conteneurs de Red Hat. Ce projet s’inscrit dans la stratégie annoncée récemment par Red Hat d’un écosystème de fournisseurs de conteneurs certifiés de bout en bout, qui entend porter les conteneurs d’applications au même degré de maturité pour les entreprises et de support qu’il l’avait fait avec Linux. L’intégration des technologies d’analyse et d’identification des vulnérabilités, ainsi que des rapports et des données du système KnowledgeBase de Black Duck, viendront renforcer ce processus de certification de conteneurs déjà robuste.

La révolution des conteneurs est donc en marche et tous les acteurs fourbissent leurs armes. Au-delà de Red Hat, Microsoft essaie de rattraper son retard. La firme de Redmond développe sa propre distribution Linux pour son offre cloud et fait la part belle aux containers, notamment Docker, dans la version 2016 de Windows Server. Cette prochaine version de Window Server incluera deux conteneurs en version native ; Windows Server Containers et Hyper-V Containers. Microsoft est également en train de développer Nano Server, une version très légère de Windows Server et à fait tourner un serveur doté de 160 cœurs et 1To de mémoire peut faire fonctionner 1 000 instances de Nano Server sur un pyperviseur Hyper-V fonctionnant lui-même sur un Nano-Server.

VMware entend bien ne pas rater cette révolution et capitaliser sur l’avance dont il bénéficie dans le domaine de la virtualisation. Il est fait état de quelque 500 000 clients ayant déploiement 50 millions des machines virtuelles sur des millions de serveurs. VIC et Photon sont les deux principales armes que développe VMware. Les VIC, (vSphere Integrated Containers) sont des extensions de vSphere qui permettent de gérer les conteneurs à côté des machines virtuelles. Photon est une version « légère » de Linux dont « l’empreinte » est d’environ 25 Mo alors qu’une version complète de Linux nécessite environ 3 Go. VMware travaille également au projet Bonneville qui permet de faire en sorte qu’une version légère de l’hyperviseur ESXi paraît et se comporte comme un conteneur Docker.

 

Pour en savoir plus sur les conteneurs