Le défi

Pour les clients de x-RD dans les secteurs de la défense et du gouvernement, la sécurité, la confiance et la conformité ne sont pas négociables. Les images de conteneurs sont un composant essentiel de leur plateforme de développement sécurisé (secd3v), mais l'équipe d'ingénierie de x-RD s'appuyait historiquement sur des images en amont et gérait le patching et la maintenance en interne, ce qui entraînait des frais opérationnels et des incohérences.

Comme l'a déclaré Daniel Riedel, fondateur et directeur général de x-RD, à propos du processus : « C'était très ad hoc entre les différentes images. Nous construisions à partir de Python slim ou Alpine lorsque c'était possible et nous appliquions toute une gamme d'approches différentes pour réduire les vulnérabilités. »

Partir d'images de base à usage général signifiait que l'équipe devait patcher, alléger et reconstruire manuellement les conteneurs pour répondre à des exigences de sécurité strictes. Cela a créé une charge de maintenance continue qui était chronophage, incohérente et difficile à mettre à l'échelle.

Le défi était encore plus prononcé pour les charges de travail d'IA, où des dépendances plus complexes rendaient plus difficile le respect des exigences de sécurité en utilisant des images de base minimales. Pour la petite équipe de x-RD, la gestion des exigences de sécurité à la fois pour les conteneurs à usage général et ceux spécifiques à l'IA, chacun avec ses propres défis de patching et de compatibilité, a créé une charge opérationnelle importante.

Parallèlement, les exigences gouvernementales ont introduit des contraintes : x-RD devait maintenir une empreinte de vulnérabilité minimale et fournir des artefacts détaillés tels que des SBOM, des rapports de vulnérabilité et la provenance des builds, afin de soutenir l'assurance et l'accréditation des systèmes. Ceci est particulièrement critique dans les environnements alignés sur l'Infosec Registered Assessors Program (IRAP), où les preuves, la répétabilité et la traçabilité des contrôles sont essentielles pour une évaluation formelle.

Bien que l'équipe de x-RD puisse durcir les conteneurs elle-même, cela nécessitait des efforts manuels répétés et était difficile à standardiser entre les environnements, surtout à mesure que les charges de travail devenaient plus complexes.

La solution

x-RD a mis en œuvre les conteneurs Chainguard pour renforcer la sécurité de ses plateformes destinées aux clients hautement réglementés. En adoptant des images de conteneurs minimales et continuellement patchées avec des SBOM et une provenance intégrés, x-RD a considérablement réduit les vulnérabilités tout en améliorant l'alignement avec des exigences de conformité strictes, telles que l'IRAP, la loi sur la sécurité des infrastructures critiques (SOCI), les contrôles du manuel de sécurité de l'information (ISM), l'Essential Eight Maturity Level 2 et supérieur, et les normes de cryptographie de l'Australian Signals Directorate (ASD).

Les résultats

Des cycles de développement plus rapides avec une base sécurisée par défaut

Pour x-RD, le respect des critères de sécurité minimaux a toujours été requis pour les applications déployées dans les environnements gouvernementaux et de haute sécurité, un processus qui pouvait auparavant prendre une à deux semaines d'efforts dédiés. Bien que l'équipe ait depuis longtemps adopté le DevSecOps et les pratiques de « shift-left », de nombreuses images open source n'étaient pas sécurisées par défaut, créant un travail de remédiation continu.

Avec Chainguard, cette dynamique change. Après avoir commencé avec des images de conteneurs fiables, minimales et continuellement maintenues, x-RD a pu déplacer la sécurité encore plus en amont (« shift-left »), réduisant les efforts de remédiation et éliminant le besoin de passer des semaines à recompiler des bibliothèques et à corriger des vulnérabilités. Les équipes sélectionnent un conteneur dans le catalogue, le testent avec l'application et avancent sans passer des semaines à recompiler des bibliothèques ou à résoudre des problèmes. Cela se traduit par des cycles de développement plus rapides et plus de temps consacré à la création de logiciels plutôt qu'à leur durcissement. Ceci est particulièrement impactant dans les environnements gouvernementaux et de défense à haute conformité, où la sécurité de base et la traçabilité sont critiques.

Réduction des coûts opérationnels et de plateforme

Pour x-RD, un avantage majeur de travailler avec Chainguard est l'élimination du cycle constant d'analyse-correction-réanalyse qui faisait partie de son approche de durcissement des conteneurs. Au-delà du temps des développeurs, ce processus entraîne également des coûts de plateforme importants, et souvent négligés, car les pipelines reconstruisent et analysent les images à plusieurs reprises à grande échelle.

En commençant avec des images sécurisées, x-RD évite une grande partie de ce travail supplémentaire et les coûts de plateforme qui l'accompagnent.

Réassurance pour les clients et chemin plus rapide vers la conformité gouvernementale

En utilisant Chainguard, x-RD a simplifié l'engagement avec les équipes d'assurance du gouvernement australien et de la défense. Avec des données CVE et des preuves justificatives facilement disponibles, les équipes d'assurance peuvent rapidement comprendre et valider la posture de sécurité du logiciel, accélérant ainsi le chemin vers la conformité.

Un véritable partenariat

Ce qui a commencé comme une relation client-fournisseur a évolué vers un partenariat formel, x-RD et Chainguard travaillant désormais ensemble pour soutenir les clients de x-RD dans les secteurs de la défense et du gouvernement, où la sécurité est fondamentale.

« Pour nous, c'était une évidence. Non seulement d'utiliser Chainguard, mais de s'associer avec eux pour répondre aux besoins des clients. »