[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"pack-detail-container-security-fr":3,"seo:pack:container-security:fr":65},{"code":4,"message":5,"data":6},200,"操作成功",{"pack":7},{"slug":8,"icon":9,"tone":10,"status":11,"status_label":12,"title":13,"description":14,"items":15,"install_cmd":64},"container-security","🔒","#991B1B","stable","Stable","Sécurité des Conteneurs","Registre Harbor, scanners Grype + Syft, linter IaC Checkov, CrowdSec, Cilium eBPF — corrigez votre supply chain avant les autres.",[16,28,36,43,50,57],{"id":17,"uuid":18,"slug":19,"title":20,"description":21,"author_name":22,"view_count":23,"vote_count":24,"lang_type":25,"type":26,"type_label":27},970,"c9f4655f-353d-11f1-9bc6-00163e2b0d79","harbor-cloud-native-trusted-container-registry-c9f4655f","Harbor — Cloud Native Trusted Container Registry","Harbor is a CNCF-graduated open-source container registry that stores, signs, and scans container images. Vulnerability scanning, RBAC, replication, and OCI support.","Script Depot",318,0,"en","skill","Skill",{"id":29,"uuid":30,"slug":31,"title":32,"description":33,"author_name":34,"view_count":35,"vote_count":24,"lang_type":25,"type":26,"type_label":27},1198,"87aec817-372b-11f1-9bc6-00163e2b0d79","grype-container-image-vulnerability-scanner-87aec817","Grype — Container Image Vulnerability Scanner","Grype is a vulnerability scanner for container images and filesystems. It matches installed packages against vulnerability databases (CVE, GHSA) to identify known security issues — essential for securing your container supply chain.","AI Open Source",297,{"id":37,"uuid":38,"slug":39,"title":40,"description":41,"author_name":22,"view_count":42,"vote_count":24,"lang_type":25,"type":26,"type_label":27},1199,"87cf1b00-372b-11f1-9bc6-00163e2b0d79","syft-generate-software-bill-materials-container-images-87cf1b00","Syft — Generate Software Bill of Materials from Container Images","Syft generates Software Bill of Materials (SBOMs) from container images and filesystems. It detects packages across OS and language ecosystems, outputting SPDX, CycloneDX, and custom formats for compliance, vulnerability scanning, and supply chain security.",296,{"id":44,"uuid":45,"slug":46,"title":47,"description":48,"author_name":22,"view_count":49,"vote_count":24,"lang_type":25,"type":26,"type_label":27},1425,"accdd5bb-38fa-11f1-9bc6-00163e2b0d79","checkov-static-security-scanning-iac-containers-accdd5bb","Checkov — Static Security Scanning for IaC and Containers","Checkov is a Bridgecrew static-analysis tool that scans Terraform, CloudFormation, Kubernetes, Helm, Dockerfile, and more for misconfigurations and policy violations before anything is deployed.",311,{"id":51,"uuid":52,"slug":53,"title":54,"description":55,"author_name":34,"view_count":56,"vote_count":24,"lang_type":25,"type":26,"type_label":27},949,"ed64dcb7-34d8-11f1-9bc6-00163e2b0d79","crowdsec-open-source-collaborative-security-engine-ed64dcb7","CrowdSec — Open Source Collaborative Security Engine","CrowdSec is a collaborative security engine that analyzes logs, detects attacks, and shares threat intelligence. Like fail2ban but with crowd-sourced IP reputation and modern architecture.",282,{"id":58,"uuid":59,"slug":60,"title":61,"description":62,"author_name":34,"view_count":63,"vote_count":24,"lang_type":25,"type":26,"type_label":27},969,"30500e42-3535-11f1-9bc6-00163e2b0d79","cilium-ebpf-powered-cloud-native-networking-security-30500e42","Cilium — eBPF-Powered Cloud Native Networking & Security","Cilium provides high-performance networking, observability, and security for Kubernetes using eBPF. CNI plugin, service mesh, and network policy — all kernel-level.",299,"tokrepo install pack\u002Fcontainer-security",{"pageType":66,"pageKey":8,"locale":67,"title":68,"metaDescription":69,"h1":13,"tldr":70,"bodyMarkdown":71,"faq":72,"schema":88,"internalLinks":98,"citations":111,"wordCount":124,"generatedAt":125},"pack","fr","Sécurité Conteneurs : Harbor, Grype, Checkov, Cilium","Pack open-source sécurité conteneurs : Harbor, scanners Grype + Syft, linter IaC Checkov, CrowdSec runtime, Cilium eBPF. Installation via TokRepo.","Six outils open-source qui couvrent les quatre couches du risque supply-chain conteneur : registre, scan d'image, IaC, runtime. Installation en une commande via TokRepo CLI.","## Ce que contient ce pack\n\nCe pack rassemble les **six outils open-source** vers lesquels la plupart des équipes convergent après avoir quitté les plateformes commerciales de sécurité conteneur. Ensemble ils couvrent registre, scan d'image, linting infrastructure-as-code et défense runtime — les quatre couches qui apparaissent dans chaque post-mortem supply-chain.\n\n| # | Ressource | Couche | Pourquoi elle est ici |\n|---|---|---|---|\n| 1 | Harbor | Registre | Registre gradué CNCF avec scan, signature, réplication intégrés |\n| 2 | Grype | Scan image | Scanner de vulnérabilités qui lit les images OCI directement |\n| 3 | Syft | SBOM | Génère Software Bill of Materials pour toute image ou filesystem |\n| 4 | Checkov | IaC | Lint Terraform, Kubernetes, Helm, CloudFormation contre 1000+ règles |\n| 5 | CrowdSec | Runtime | Détection comportementale + blocklist crowd-sourcée pour trafic live |\n| 6 | Cilium | Réseau | Networking eBPF, NetworkPolicy, observabilité Hubble |\n\nLa séparation compte : registre sans scan c'est du théâtre ; scan sans SBOM donne des numéros CVE sans surface de remédiation ; runtime sans politique réseau détecte l'intrusion mais ne contient pas le rayon d'explosion.\n\n## Pourquoi la sécurité conteneur compte maintenant\n\nLa vague d'incidents 2024-2025 (xz-utils, polyfill.io, vers npm) a rendu une chose concrète : le binaire que vous livrez est la somme de chaque dépendance que vous n'avez pas auditée. Une image moderne combine OS de base, runtime langage, couche app et outillage build — quatre supply chains empilées. Le coût d'une transitive compromise est le même que vous soyez 5 ou 5000.\n\nLes scanners commerciaux (Snyk, Wiz, Aqua) marchent, mais demandent $30-100 par nœud par mois et envoient leur télémétrie dans leur cloud. Le pack open-source ici livre :\n\n- **Scan IaC pré-merge** (Checkov en CI attrape buckets S3 mal configurés, securityContext manquant, secrets exposés avant la review)\n- **Scan d'image post-build** (Grype + Syft à chaque push Harbor — fail le build si CVSS ≥ 7)\n- **Défense runtime** (CrowdSec ingère logs nginx\u002FTraefik et partage IPs attaquantes avec 100k+ pairs)\n- **Confinement réseau** (Cilium NetworkPolicy : un pod compromis ne pivote pas vers votre DB)\n\n## Installer en une commande\n\n```bash\n# Installe le pack entier dans le projet actuel\ntokrepo install pack\u002Fcontainer-security\n\n# Ou choisissez des ressources individuelles\ntokrepo install grype\ntokrepo install checkov\n```\n\nLe TokRepo CLI écrit configs scanner, templates jobs CI et snippets Helm values dans votre repo. Chaque page de ressource documente les flags qu'Anchore, Bridgecrew, Isovalent et l'équipe Harbor recommandent pour la production.\n\n## Pièges courants\n\n- **Scanner seulement les tags `latest`.** Pinnez aux digests dans les manifests de prod ; `latest` dérive et votre historique de scans perd son sens.\n- **Traiter le score CVSS comme priorité.** Un CVSS 9.8 dans une image base dev-only jamais exposée est moins prioritaire qu'un CVSS 6.5 dans votre proxy edge. Combinez l'output Grype avec analyse d'atteignabilité runtime.\n- **Sauter la génération de SBOM.** Quand le prochain backdoor style xz tombera, les équipes qui ont déjà des SBOMs Syft en stockage répondent « sommes-nous exposés ? » en minutes. Sans SBOM, une semaine.\n- **Checkov comme seule gate IaC.** Checkov est excellent sur les patterns mauvais connus mais n'attrape pas la sécurité métier (e.g. rôle IAM techniquement valide mais trop permissif). Pairez avec `tfsec` ou OPA pour la seconde passe.\n- **CrowdSec sans revue des scenarios.** Les scenarios par défaut bloquent les attaquants évidents mais peuvent faux-positiver sur des crawlers agressifs. Réglez `parsers\u002Fscenarios` ou vous bloquerez votre propre monitoring.\n\n## Quand ce pack seul ne suffit pas\n\nSi vous tournez Kubernetes à l'échelle, ajoutez **Falco** pour la détection runtime niveau syscall (c'est l'outil runtime d'origine — Tetragon de Cilium recouvre maintenant mais le corpus de règles Falco est plus large). Pour les secrets spécifiquement, ajoutez **Vault** ou **Infisical** — aucun n'est dans le pack car la gestion de secrets est un autre problème. Pour la provenance supply-chain (qui a construit cette image, sur quel runner), regardez **Sigstore** + attestations **in-toto** ; Harbor supporte cosign signing nativement, donc le chemin est court.",[73,76,79,82,85],{"q":74,"a":75},"Le pack est-il gratuit de bout en bout ?","Oui. Chaque outil est open source sous licence permissive (Apache 2.0 ou MIT). Vous aurez besoin de compute pour Harbor (le stockage scale avec le nombre d'images) et un Postgres pour les métadonnées Harbor, mais aucune licence par siège. CrowdSec offre un tier payant pour console centralisée, mais l'agent + blocklists communautaires sont gratuits et c'est la partie porteuse.",{"q":77,"a":78},"Comment ça se compare à Snyk Container ou Wiz ?","Snyk et Wiz ajoutent une UI managée, une priorisation CVE curée par le vendor et des rapports SOC 2. Le pack ici donne la même profondeur de scan (la BD vulnérabilités de Grype vient des mêmes flux NVD + GHSA) à zéro coût par nœud, mais vous construisez le dashboard ou pipez les résultats vers Grafana \u002F DefectDojo. Choisissez managé si les rapports compliance sont le goulot ; choisissez ce pack si le temps ingé et le self-hosting sont moins chers que les sièges.",{"q":80,"a":81},"Ça fonctionnera avec Claude Code ou Cursor pour la remédiation auto ?","Oui. Claude Code peut lancer `grype \u003Cimage>` et `checkov -d .` directement, parser le JSON et proposer des patchs en PR. Les pages de ressources TokRepo incluent des prompts subagent qui câblent Grype + Checkov dans une commande slash `security-fix`. Les utilisateurs Cursor obtiennent la même via règles custom — les deux surfaces sont documentées par ressource.",{"q":83,"a":84},"Quelle différence entre Grype et Syft ?","Syft génère un SBOM — l'inventaire de chaque paquet dans votre image. Grype prend ce SBOM (ou scanne directement une image) et matche chaque paquet contre les bases de vulnérabilités. On les lance presque toujours ensemble : Syft une fois au build, Grype sur planning contre le SBOM (peu cher) plus à chaque nouveau push (attrape les nouvelles CVEs dans les vieilles images).",{"q":86,"a":87},"Piège opérationnel en déployant Cilium ?","Cilium remplace kube-proxy par défaut sur de nombreux paths d'installation, et migrer depuis un cluster en cours nécessite du soin — la résolution DNS peut casser pendant le cutover si les pods hostNetwork ne sont pas pris en compte. Utilisez d'abord `--kube-proxy-replacement=partial`, validez avec `cilium connectivity test`, puis passez à `strict`. N'exposez pas Hubble UI sur un ingress public sans auth devant.",{"@context":89,"@type":90,"name":91,"description":92,"numberOfItems":93,"publisher":94},"https:\u002F\u002Fschema.org","CollectionPage","Container Security","Open-source registry, vulnerability scanners, IaC linter and runtime defense for the container supply chain.",6,{"@type":95,"name":96,"url":97},"Organization","TokRepo","https:\u002F\u002Ftokrepo.com",[99,103,107],{"url":100,"anchor":101,"reason":102},"\u002Ffr\u002Fpacks\u002Fpostgres-for-agents","Postgres pour Agents IA","couche de données associée aux conteneurs durcis",{"url":104,"anchor":105,"reason":106},"\u002Ffr\u002Fpacks\u002Fworkflow-orchestration","Orchestration de Workflows","les scans tournent comme pipelines planifiés",{"url":108,"anchor":109,"reason":110},"\u002Ffr\u002Ftools\u002Fclaude-code","Claude Code","l'agent qui pilote la boucle scan + patch",[112,116,120],{"claim":113,"source_name":114,"source_url":115},"Harbor is a CNCF graduated project providing a secure registry for container images and artifacts","Harbor (CNCF)","https:\u002F\u002Fgoharbor.io",{"claim":117,"source_name":118,"source_url":119},"Grype scans container images and filesystems for vulnerabilities; Syft generates SBOMs","anchore\u002Fgrype","https:\u002F\u002Fgithub.com\u002Fanchore\u002Fgrype",{"claim":121,"source_name":122,"source_url":123},"Cilium provides eBPF-based networking, observability, and security for cloud-native workloads","cilium\u002Fcilium","https:\u002F\u002Fgithub.com\u002Fcilium\u002Fcilium",679,"2026-05-02T15:00:00Z"]