C’est un dilemme que connaissent bien les architectes Cloud Native et les équipes SecOps : comment concilier la vélocité de développement, désormais dopée par les assistants de code basés sur l’IA, avec la sécurité des environnements de production ? La réponse réside souvent dans la réduction de la surface d’attaque. C’est précisément l’angle d’attaque du Project Hummingbird, une nouvelle initiative technique dévoilée le 25 novembre, qui vise à standardiser l’usage d’images de conteneurs drastiquement allégées.
Porté par Red Hat, mais ancré dans la philosophie open source via ses racines Fedora, ce projet part d’un constat simple : les conteneurs standards embarquent trop de composants inutiles, multipliant d’autant les vecteurs potentiels de failles. Hummingbird propose donc un catalogue d’images miniaturisées, contenant uniquement le strict nécessaire pour exécuter les langages modernes (.NET, Go, Java, Node) ou les services d’infrastructure (PostgreSQL, MariaDB, Nginx).
La promesse du « Zero CVE » et la transparence SBOM
Au-delà de la simple cure d’amaigrissement des binaires, l’intérêt du projet pour les DSI réside dans sa promesse de livraison en statut « Zero CVE ». Concrètement, cela signifie que les images fournies sont exemptes de vulnérabilités connues et répertoriées au moment de leur déploiement. Cette approche permet aux équipes de développement de construire sur des fondations saines, sans hériter d’une dette technique de sécurité dès le premier docker pull.
Pour garantir cette intégrité, chaque image est accompagnée d’une nomenclature logicielle complète (SBOM). Ce document permet de vérifier précisément le contenu de chaque conteneur, répondant ainsi aux exigences croissantes de conformité réglementaire (type CRA ou NIS2) qui imposent une maîtrise totale de la chaîne d’approvisionnement logicielle.
Un ADN open source basé sur Fedora
Techniquement, le Project Hummingbird ne sort pas de nulle part. Il s’appuie sur un processus de développement open source et dérive directement des composants de Fedora Linux, qui sert de source « upstream ». Si le programme est actuellement en phase d’avant-première technologique, le modèle de distribution futur se veut ouvert : à terme, les images non prises en charge commercialement seront redistribuables gratuitement, suivant une logique similaire à l’Universal Base Image (UBI).
Pour en savoir plus, rendez-vous sur cette page (en français).
