Les conteneurs sont rapidement devenus la plateforme de choix pour fournir aux professionnels du développement, du test et du déploiement d’applications un environnement d’exploitation simple et rapide à utiliser.
Mais la technologie peine encore à convaincre les entreprises faute de garanties de sécurité suffisantes, sur la provenance, la certification, la conformité et la fiabilité du code notamment. 60 % des professionnels IT interrogés dans le cadre d’une étude mondiale de TechValidate pour Red Hat citent en effet les niveaux insuffisants de sécurité, de certification et de traçabilité de la provenance des images comme principaux freins à l’adoption des conteneurs.
Une autre étude réalisée en mai 2015 par BanyanOps enfonce le clou en révélant que plus de 30 % des images officielles de Docker Hub présentent de graves failles sécuritaires.
Conclusion ? Les processus de développement, de déploiement et d’administration des conteneurs doivent absolument intégrer des systèmes sophistiqués d’inspection des conteneurs (Deep Container Inspection, DCI), ainsi que des technologies de vérification et de certification.
On le comprend : c’est ici que la collaboration entre Black Duck et Red Hat compte intervenir.
Présentation de l’offre
Dans un premier temps Red Hat et Black Duck Software prévoient d’intégrer Black Duck Hub, le logiciel d’analyse de conteneurs et d’identification des failles de sécurité Open Source de Black Duck, à OpenShift, l’offre Platform-as-a-Service (PaaS) de Red Hat.
Le hub de Black Duck repose sur KnowledgeBase, une base de données couvrant 1,1 million de projets Open Source, qui détaille plus de 100 000 failles Open Source repérées au sein de quelque 350 milliards de lignes de code.
Red Hat et Black Duck envisagent également de proposer aux développeurs d’applications, notamment aux éditeurs de logiciels indépendants (ISV), les technologies Black Duck sous la forme de services complémentaires dans le processus de certification de conteneurs de Red Hat.
– Red Hat
