Images de base gérées

Les images de base gérées sont des images de conteneurs de base automatiquement mises à jour par Google pour remédier aux failles de sécurité, à l'aide des derniers correctifs disponibles en amont dans le projet (par exemple, GitHub). Elles sont disponibles pour tous les clients GCP.

Ce document décrit les images de conteneurs gérées et la façon dont elles sont conservées.

Pour plus d'informations sur la licence applicable aux images de base gérées, reportez-vous au fichier LICENCE des images de base gérées.

Images de conteneurs et systèmes d'exploitation

Lorsque vous déployez un conteneur, vous choisissez deux images et systèmes d'exploitation distincts :

  • Nœud ou image d'hôte

    Système d'exploitation sur lequel vous exécutez votre conteneur.

  • Image du conteneur

    Système d'exploitation utilisé pour votre conteneur lui-même.

Votre image de conteneur est compilée en prenant une image de base du système d'exploitation et en ajoutant les packages, les bibliothèques et les fichiers binaires nécessaires à votre application.

Conservation des images de base gérées

Google conserve des images de base pour créer ses propres applications, y compris des services Google Cloud tels que Google App Engine.

Les images de base gérées ont des propriétés de sécurité qui peuvent les rendre intéressantes pour certaines utilisations :

  • Les failles connues y sont régulièrement recherchées, à partir de la base de données CVE.

    Cette analyse utilise les mêmes fonctionnalités que l'analyse des failles de Container Registry. Lorsqu'un correctif est disponible pour une faille trouvée, Google l'applique.

  • Elles sont construites de manière reproductible. Il existe donc un chemin vérifiable du code source au fichier binaire.

    Vous pouvez vérifier l'image en la comparant à la source GitHub pour vous assurer que la compilation n'a introduit aucune faille.

  • Elles sont stockées sur Google Cloud. Ainsi, vous pouvez les récupérer directement depuis votre environnement sans avoir à traverser de réseaux.

    Vous pouvez récupérer ces images à l'aide de l'accès privé à Google, et bien entendu les utiliser également en dehors de Google Cloud.

Images disponibles

Les images de base gérées sont disponibles dans GCP Marketplace.

Les images de base gérées sont disponibles pour les distributions de système d'exploitation suivantes :

OS Source Chemin d'accès au dépôt Fiche GCP Marketplace
CentOS GitHub marketplace.gcr.io/google/centos7 GCP Marketplace
Debian 9 "Stretch" GitHub marketplace.gcr.io/google/debian9 GCP Marketplace
Ubuntu 16.04 GitHub marketplace.gcr.io/google/ubuntu1604 GCP Marketplace
Ubuntu 18.04 GitHub marketplace.gcr.io/google/ubuntu1804 GCP Marketplace

Cycle de vie et stratégie de prise en charge des systèmes d'exploitation

La compatibilité des images de base gérées est soumise aux cycles de vie des distributions de système d'exploitation correspondantes. Sauf indication contraire, Google publie des images mises à jour au moins une fois par mois. Les mises à jour publiées incluent des mises à jour de sécurité et d'autres mises à jour installées pour les versions du système d'exploitation qui se trouvent dans la phase d'assistance standard de leur cycle de vie.

Lorsqu'une version du système d'exploitation entre dans sa phase étendue du cycle de vie, Google ne fournit plus d'images mises à jour. Google ne reporte généralement pas les nouvelles fonctionnalités sur les versions ayant atteint ou dépassé la phase d'assistance étendue de leur cycle de vie.

Autres options

Si les images de base gérées ne vous conviennent pas, des alternatives appropriées existent :

Pour découvrir d'autres moyens de protéger votre chaîne d'approvisionnement logicielle, y compris la validation des images, consultez la page Aider à sécuriser les chaînes d'approvisionnement logicielles sur Google Kubernetes Engine.