TOKREPO · ARSENAL

Stable

Sécurité des Conteneurs

Q: Ça fonctionnera avec Claude Code ou Cursor pour la remédiation auto ?

Oui. Claude Code peut lancer `grype ` et `checkov -d .` directement, parser le JSON et proposer des patchs en PR. Les pages de ressources TokRepo incluent des prompts subagent qui câblent Grype + Checkov dans une commande slash `security-fix`. Les utilisateurs Cursor obtiennent la même via règles custom — les deux surfaces sont documentées par ressource.

Registre Harbor, scanners Grype + Syft, linter IaC Checkov, CrowdSec, Cilium eBPF — corrigez votre supply chain avant les autres.

6 ressources

À propos de ce pack

Ce que contient ce pack

Ce pack rassemble les six outils open-source vers lesquels la plupart des équipes convergent après avoir quitté les plateformes commerciales de sécurité conteneur. Ensemble ils couvrent registre, scan d'image, linting infrastructure-as-code et défense runtime — les quatre couches qui apparaissent dans chaque post-mortem supply-chain.

#	Ressource	Couche	Pourquoi elle est ici
1	Harbor	Registre	Registre gradué CNCF avec scan, signature, réplication intégrés
2	Grype	Scan image	Scanner de vulnérabilités qui lit les images OCI directement
3	Syft	SBOM	Génère Software Bill of Materials pour toute image ou filesystem
4	Checkov	IaC	Lint Terraform, Kubernetes, Helm, CloudFormation contre 1000+ règles
5	CrowdSec	Runtime	Détection comportementale + blocklist crowd-sourcée pour trafic live
6	Cilium	Réseau	Networking eBPF, NetworkPolicy, observabilité Hubble

La séparation compte : registre sans scan c'est du théâtre ; scan sans SBOM donne des numéros CVE sans surface de remédiation ; runtime sans politique réseau détecte l'intrusion mais ne contient pas le rayon d'explosion.

Pourquoi la sécurité conteneur compte maintenant

La vague d'incidents 2024-2025 (xz-utils, polyfill.io, vers npm) a rendu une chose concrète : le binaire que vous livrez est la somme de chaque dépendance que vous n'avez pas auditée. Une image moderne combine OS de base, runtime langage, couche app et outillage build — quatre supply chains empilées. Le coût d'une transitive compromise est le même que vous soyez 5 ou 5000.

Les scanners commerciaux (Snyk, Wiz, Aqua) marchent, mais demandent $30-100 par nœud par mois et envoient leur télémétrie dans leur cloud. Le pack open-source ici livre :

Scan IaC pré-merge (Checkov en CI attrape buckets S3 mal configurés, securityContext manquant, secrets exposés avant la review)
Scan d'image post-build (Grype + Syft à chaque push Harbor — fail le build si CVSS ≥ 7)
Défense runtime (CrowdSec ingère logs nginx/Traefik et partage IPs attaquantes avec 100k+ pairs)
Confinement réseau (Cilium NetworkPolicy : un pod compromis ne pivote pas vers votre DB)

Installer en une commande

# Installe le pack entier dans le projet actuel
tokrepo install pack/container-security

# Ou choisissez des ressources individuelles
tokrepo install grype
tokrepo install checkov

Le TokRepo CLI écrit configs scanner, templates jobs CI et snippets Helm values dans votre repo. Chaque page de ressource documente les flags qu'Anchore, Bridgecrew, Isovalent et l'équipe Harbor recommandent pour la production.

Pièges courants

Scanner seulement les tags latest. Pinnez aux digests dans les manifests de prod ; latest dérive et votre historique de scans perd son sens.
Traiter le score CVSS comme priorité. Un CVSS 9.8 dans une image base dev-only jamais exposée est moins prioritaire qu'un CVSS 6.5 dans votre proxy edge. Combinez l'output Grype avec analyse d'atteignabilité runtime.
Sauter la génération de SBOM. Quand le prochain backdoor style xz tombera, les équipes qui ont déjà des SBOMs Syft en stockage répondent « sommes-nous exposés ? » en minutes. Sans SBOM, une semaine.
Checkov comme seule gate IaC. Checkov est excellent sur les patterns mauvais connus mais n'attrape pas la sécurité métier (e.g. rôle IAM techniquement valide mais trop permissif). Pairez avec tfsec ou OPA pour la seconde passe.
CrowdSec sans revue des scenarios. Les scenarios par défaut bloquent les attaquants évidents mais peuvent faux-positiver sur des crawlers agressifs. Réglez parsers/scenarios ou vous bloquerez votre propre monitoring.

Quand ce pack seul ne suffit pas

Si vous tournez Kubernetes à l'échelle, ajoutez Falco pour la détection runtime niveau syscall (c'est l'outil runtime d'origine — Tetragon de Cilium recouvre maintenant mais le corpus de règles Falco est plus large). Pour les secrets spécifiquement, ajoutez Vault ou Infisical — aucun n'est dans le pack car la gestion de secrets est un autre problème. Pour la provenance supply-chain (qui a construit cette image, sur quel runner), regardez Sigstore + attestations in-toto ; Harbor supporte cosign signing nativement, donc le chemin est court.

INSTALLER · UNE COMMANDE

$ tokrepo install pack/container-security

passez-la à votre agent — ou collez-la dans votre terminal

Ce qu'il contient

6 ressources prêtes à installer

Script#01

Harbor — Cloud Native Trusted Container Registry

Harbor is a CNCF-graduated open-source container registry that stores, signs, and scans container images. Vulnerability scanning, RBAC, replication, and OCI support.

by Script Depot·128 views

$ tokrepo install harbor-cloud-native-trusted-container-registry-c9f4655f

Config#02

Grype — Container Image Vulnerability Scanner

Grype is a vulnerability scanner for container images and filesystems. It matches installed packages against vulnerability databases (CVE, GHSA) to identify known security issues — essential for securing your container supply chain.

by AI Open Source·98 views

$ tokrepo install grype-container-image-vulnerability-scanner-87aec817

Script#03

Syft — Generate Software Bill of Materials from Container Images

Syft generates Software Bill of Materials (SBOMs) from container images and filesystems. It detects packages across OS and language ecosystems, outputting SPDX, CycloneDX, and custom formats for compliance, vulnerability scanning, and supply chain security.

by Script Depot·91 views

$ tokrepo install syft-generate-software-bill-materials-container-images-87cf1b00

Script#04

Checkov — Static Security Scanning for IaC and Containers

Checkov is a Bridgecrew static-analysis tool that scans Terraform, CloudFormation, Kubernetes, Helm, Dockerfile, and more for misconfigurations and policy violations before anything is deployed.

by Script Depot·99 views

$ tokrepo install checkov-static-security-scanning-iac-containers-accdd5bb

Config#05

CrowdSec — Open Source Collaborative Security Engine

CrowdSec is a collaborative security engine that analyzes logs, detects attacks, and shares threat intelligence. Like fail2ban but with crowd-sourced IP reputation and modern architecture.

by AI Open Source·107 views

$ tokrepo install crowdsec-open-source-collaborative-security-engine-ed64dcb7

Config#06

Cilium — eBPF-Powered Cloud Native Networking & Security

Cilium provides high-performance networking, observability, and security for Kubernetes using eBPF. CNI plugin, service mesh, and network policy — all kernel-level.

by AI Open Source·98 views

$ tokrepo install cilium-ebpf-powered-cloud-native-networking-security-30500e42

FAQ

Questions fréquentes

Le pack est-il gratuit de bout en bout ?

Oui. Chaque outil est open source sous licence permissive (Apache 2.0 ou MIT). Vous aurez besoin de compute pour Harbor (le stockage scale avec le nombre d'images) et un Postgres pour les métadonnées Harbor, mais aucune licence par siège. CrowdSec offre un tier payant pour console centralisée, mais l'agent + blocklists communautaires sont gratuits et c'est la partie porteuse.

Comment ça se compare à Snyk Container ou Wiz ?

Snyk et Wiz ajoutent une UI managée, une priorisation CVE curée par le vendor et des rapports SOC 2. Le pack ici donne la même profondeur de scan (la BD vulnérabilités de Grype vient des mêmes flux NVD + GHSA) à zéro coût par nœud, mais vous construisez le dashboard ou pipez les résultats vers Grafana / DefectDojo. Choisissez managé si les rapports compliance sont le goulot ; choisissez ce pack si le temps ingé et le self-hosting sont moins chers que les sièges.

Ça fonctionnera avec Claude Code ou Cursor pour la remédiation auto ?

Oui. Claude Code peut lancer grype <image> et checkov -d . directement, parser le JSON et proposer des patchs en PR. Les pages de ressources TokRepo incluent des prompts subagent qui câblent Grype + Checkov dans une commande slash security-fix. Les utilisateurs Cursor obtiennent la même via règles custom — les deux surfaces sont documentées par ressource.

Quelle différence entre Grype et Syft ?

Syft génère un SBOM — l'inventaire de chaque paquet dans votre image. Grype prend ce SBOM (ou scanne directement une image) et matche chaque paquet contre les bases de vulnérabilités. On les lance presque toujours ensemble : Syft une fois au build, Grype sur planning contre le SBOM (peu cher) plus à chaque nouveau push (attrape les nouvelles CVEs dans les vieilles images).

Piège opérationnel en déployant Cilium ?

Cilium remplace kube-proxy par défaut sur de nombreux paths d'installation, et migrer depuis un cluster en cours nécessite du soin — la résolution DNS peut casser pendant le cutover si les pods hostNetwork ne sont pas pris en compte. Utilisez d'abord --kube-proxy-replacement=partial, validez avec cilium connectivity test, puis passez à strict. N'exposez pas Hubble UI sur un ingress public sans auth devant.

PLUS DANS L'ARSENAL

12 packs · 80+ ressources sélectionnées

Découvrez tous les packs curatés sur la page d'accueil

Retour à tous les packs