Je partage avec vous dans cette vidéo 2 autres bonnes pratiques pour sécuriser vos applications conteneurisées.

Episode 1 : https://youtu.be/4lvhDjwLgUU (avec explications sur l’application d’exemple)

Vidéo sur le XSS : https://youtu.be/jmm-cUdaDVA

Code des exemples : https://github.com/NeuronAddict/secure-container-1

Toujours avec notre exemple d’application d’IA, utilisant huggingface, gradio et python dans un conteneur docker.

Chapitres:

00:00 Intro
00:43 La racine du mal : root dans un conteneur
01:44 Pourquoi c’est dangereux, exemple avec nginx
02:35 Démo : attaque XSS d’un conteneur grâce à l’accès root
04:02 Conséquences sur nginx : corruption de configuration
05:56 Remédiation sur nginx : transformer un conteneur en conteneur non-root
09:35 Sécurité sur gradio : conteneur python en lecture seule et tips pour sécuriser vos conteneurs non-root
12:45 Fix du binding de port pour kubernetes / capabilities
16:44 Lecture seule sur les volumes
22:04 La suite…

Image officielle nginx : https://hub.docker.com/_/nginx
Documentation de nginx : https://nginx.org/en/docs/
Documentation de gradio : https://www.gradio.app/
Configuration de huggingface : https://huggingface.co/docs/huggingface_hub/main/en/package_reference/environment_variables

Excellent article de diamond sur les capabilities : https://connect.ed-diamond.com/GNU-Linux-Magazine/glmf-164/les-capabilities-sous-linux
Man page des capabilities : https://www.man7.org/linux/man-pages/man7/capabilities.7.html

Volumes docker : https://docs.docker.com/engine/storage/volumes/
Volumes avec docker-compose : https://docs.docker.com/reference/compose-file/volumes/