Images de base gérées

Cette page présente les images de conteneurs de base gérées par Google.

Que sont les images de base ?

La plupart des développements basés sur des conteneurs commencent par une image de base, sur laquelle sont superposées les bibliothèques, les fichiers binaires et les fichiers de configuration nécessaires à l'exécution d'une application. L'image de base est le point de départ de la plupart des workflows de développement basés sur des conteneurs.

La plupart des images de base sont des distributions Linux de base ou minimale : Debian, Ubuntu, Redhat, Centos ou Alpine. Les développeurs utilisent généralement ces images directement à partir de Docker Hub ou d'autres sources. Il existe des fournisseurs officiels, ainsi qu'une grande variété d'autres reconditionneurs en aval qui couches les logiciels pour répondre aux besoins des clients.

Google propose les deux solutions suivantes pour les images de base :

  • Google conserve des images de base pour créer ses propres applications. Ces images sont disponibles pour les utilisateurs sur Google Cloud Marketplace.

  • Google fournit un pipeline d'images sécurisé, un outil Open Source qui vous permet de générer et de gérer vos propres images de base sécurisées. Vous pouvez utiliser ces images à partir de votre projet Google Cloud.

Images de base fournies par Google

Les images de base fournies par Google sont disponibles pour les distributions de système d'exploitation suivantes :

Système d'exploitation Source Chemin d'accès au dépôt Fiche Google Cloud Marketplace
CentOS 7 GitHub marketplace.gcr.io/google/centos7 Google Cloud Marketplace
CentOS 8 GitHub marketplace.gcr.io/google/centos8 Google Cloud Marketplace
Debian 9 "Stretch" GitHub marketplace.gcr.io/google/debian9 Google Cloud Marketplace
Debian 10 "Buster" GitHub marketplace.gcr.io/google/debian10 Google Cloud Marketplace
Debian 11 "BullsEye" GitHub marketplace.gcr.io/google/debian11 Google Cloud Marketplace
Ubuntu 18.04 GitHub marketplace.gcr.io/google/ubuntu1804 Google Cloud Marketplace
Ubuntu 20.04 GitHub marketplace.gcr.io/google/ubuntu2004 Google Cloud Marketplace

Pour plus d'informations sur la licence applicable aux images de base gérées, reportez-vous au fichier LICENCE des images de base gérées.

Les images de base gérées par Google présentent les avantages suivants :

Analyse des failles connues

Les failles connues y sont régulièrement recherchées, à partir de la base de données CVE.

Cette analyse utilise les mêmes fonctionnalités que l'analyse des failles de Artifact Registry. Lorsqu'un correctif est disponible pour une faille trouvée, Google l'applique.

Reproductible

Elles sont construites de manière reproductible. Il existe donc un chemin vérifiable du code source au fichier binaire.

Vous pouvez vérifier l'image en la comparant à la source GitHub pour vous assurer que la compilation n'a introduit aucune faille.

Stockage sur Google Cloud

Elles sont stockées sur Google Cloud. Ainsi, vous pouvez les récupérer directement depuis votre environnement sans avoir à traverser de réseaux.

Pipeline d'images sécurisé

Toutes les images de base prêtes à l'emploi souffrent de l'impossibilité pour les consommateurs d'auditer leur contenu. Il n'y a aucune visibilité sur les sources, les processus de compilation et de test, ni les méthodes de gestion des images. Les acteurs malveillants ajoutent souvent des logiciels malveillants en aval des images de base. Lorsque les utilisateurs consomment des images de base provenant des dépôts publics, il n'y a aucun contrôle sur la chaîne d'approvisionnement logicielle à la racine de leur environnement d'application.

Ainsi, lorsque les clients ont des besoins de conformité qui nécessitent un audit de chaque logiciel qu'ils exécutent et des environnements dans lesquels ils s'exécutent, ils créent quelque chose en interne. Pour ce faire, il est nécessaire de déployer et de gérer des tâches.

Le pipeline d'images sécurisé vous permet de générer et de gérer vos propres images de base sécurisées. Vous pouvez utiliser les images de base générées à partir de votre projet Google Cloud.

Vous pouvez générer des images de base pour les distributions de système d'exploitation suivantes :

  • Debian
  • Ubuntu
  • CentOS
  • Alpine

Pour obtenir des instructions sur la configuration de votre pipeline d'images sécurisé, consultez la page Créer un pipeline d'images sécurisé.

Autres options

Si les images de base gérées ne vous conviennent pas, vous pouvez utiliser * des images mises en cache, qui sont des images Docker Hub fréquemment demandées stockées sur mirror.gcr.io. Si vous configurez votre daemon Docker pour utiliser des images mises en cache, votre client recherche toujours une copie mise en cache d'une image Docker Hub avant d'essayer de l'extraire directement de Docker Hub.

En savoir plus sur l'extraction d'images mises en cache

Pour découvrir d'autres moyens de protéger votre chaîne d'approvisionnement logicielle, y compris la validation des images, consultez la page Aider à sécuriser les chaînes d'approvisionnement logicielles sur Google Kubernetes Engine.

Étape suivante