Le défi

Le triage des CVE est un travail ingrat. Avant Chainguard, il accaparait également une part disproportionnée de l'équipe de sécurité de Sublime Security. Chaque nouveau rapport de vulnérabilité déclenchait les mêmes questions : est-ce accessible dans notre environnement ? Est-ce réellement exploitable ? Les réponses nécessitaient une véritable enquête, et le volume ne cessait de croître.

En tant qu'entreprise de sécurité, Sublime s'impose également des exigences internes plus élevées : la norme qu'ils fixent pour leur propre environnement de production reflète celle qu'ils promettent à leurs clients. Et les clients entreprises faisaient pression sur la gestion des vulnérabilités, demandant à voir les SBOM et les preuves d'une remédiation active ; cocher une case SOC 2 ne suffisait plus.

Andrew Becherer, CISO chez Sublime, a expliqué : « Avant Chainguard, nous avions des problèmes importants avec le nombre de CVE dans nos environnements de production. Il était très difficile de suivre le rythme. Tous les problèmes ne se valent pas, nous devions donc fréquemment nous lancer dans toutes sortes d'analyses. »

Jonathon Klobucar, ingénieur sécurité chez Sublime, a été confronté à la limite logique de ce problème : pour gérer correctement les vulnérabilités, l'équipe aurait dû devenir sa propre « usine à images », scannant les images open source, traquant les correctifs en amont et reconstruisant parfois les paquets à partir de la source lorsqu'aucun correctif n'existait. C'est une opération à temps plein, et Sublime n'avait pas les effectifs nécessaires compte tenu de la taille de son équipe.

La solution

L'équipe a envisagé de développer une solution en interne ou de faire appel à d'autres fournisseurs, mais aucune de ces options n'était la bonne pour Sublime.

D'autres fournisseurs récupéraient les images en amont sans les corriger, ce qui n'apportait pas beaucoup d'amélioration par rapport à ce que l'équipe de Sublime pouvait déjà faire. Le développement interne était une démarche qu'Andrew avait déjà entreprise dans des organisations disposant de ressources importantes, et il savait exactement ce que cela coûtait en temps, en efforts et en argent.

« Ce que nous recherchions, c'était quelque chose qui minimiserait notre surface d'attaque, qui réduirait le nombre de problèmes au minimum possible et qui serait très facile à mettre en œuvre pour notre organisation d'ingénierie », a expliqué Andrew. « Et c'est ce que nous avons trouvé dans les images de conteneurs Chainguard. »

L'intégration des conteneurs Chainguard en production a pris quelques semaines. Aujourd'hui, l'intégration s'effectue via OpenID Connect (OIDC) et GitHub Actions. Les ingénieurs de Sublime choisissent les images de base dans le catalogue sans passer par la sécurité pour approbation.

Les résultats

Presque zéro CVE, des heures retrouvéesPresque zéro CVE, des heures retrouvées

Sublime gère le triage hebdomadaire via des « runners » en rotation qui prennent en charge les nouveaux travaux entrants, évaluent la portée et notent les vulnérabilités à l'aide d'outils internes. Avant Chainguard, les vulnérabilités des images de conteneurs occupaient une part importante de chaque rotation de triage. Le travail était constant, évincant tout le reste.

Comme l'a expliqué Andrew, « le résultat le plus mesurable a été une réduction de près de 100 % des CVE des images de base pour les équipes qui ont adopté Chainguard en interne. » Cela se traduit directement par une réduction spectaculaire du travail associé au triage, à la correction et au déploiement de nouvelles images.

Jonathon exprime les gains de temps en termes concrets :

« Chainguard a pris une tâche importante et fastidieuse qui consommait la majeure partie du temps de triage de quelqu'un, et a éliminé cette charge de travail, libérant au moins 50 % de leur temps pour des tâches à plus forte valeur ajoutée. Cela a été une amélioration énorme pour le triage des nouveaux travaux pour nous. »

Andrew souligne que ce résultat n'aurait pas été possible sans un partenaire comme Chainguard.

Un travail de sécurité qui compte

Le temps libéré a été consacré au travail de sécurité au niveau de l'application qui était en retard. Avec des images distroless ayant une surface logicielle plus petite, les faux positifs ont diminué et les scans génèrent moins d'alertes qui s'avèrent non pertinentes.

« Depuis la mise en œuvre de Chainguard », a expliqué Jonathon, « nous avons constaté à la fois une réduction des rapports de faux positifs, nos conteneurs ayant désormais une surface logicielle beaucoup plus petite grâce à la nature distroless. »

Moins de bruit, moins de paperasse

La gestion des vulnérabilités oppose souvent les équipes de sécurité et d'ingénierie. La sécurité identifie les CVE, et l'ingénierie doit les corriger tout en gérant tout le reste. Ce va-et-vient crée souvent du bruit et des frictions, mais lorsque le nombre de problèmes diminue, la relation change.

Andrew a expliqué : « Lorsque ces problèmes n'existent pas en production, nous n'avons pas besoin d'en parler. Et donc, ne pas avoir à soulever ces problèmes avec nos partenaires de l'ingénierie réduit les frictions et renforce vraiment les messages que nous leur transmettons, car nous sommes beaucoup moins bruyants. » Une équipe qui passe moins de temps à réagir au bruit gagne en crédibilité lorsqu'elle doit escalader un problème, et cette crédibilité se renforce avec le temps.

Ce changement dynamique s'étend également à la conformité. Lorsqu'un correctif n'existe pas en amont, Chainguard rédige la documentation des exceptions, une tâche qui incombait auparavant à l'équipe de Jonathon. Les données SBOM et les enregistrements de provenance sont également disponibles pour les équipes de conformité sans qu'elles aient à demander quoi que ce soit à la sécurité, ce qui permet aux flux de travail d'audit destinés aux clients de se poursuivre sans les goulots d'étranglement habituels.

Pour Andrew, les victoires individuelles s'additionnent pour former quelque chose de plus grand : une équipe de sécurité qui dépasse ses capacités car elle n'est plus enterrée sous un travail qui ne devrait pas nécessiter son attention.