Image Security & Kyverno

1. Scanner une image (Trivy)

Scanner une image pour trouver des vulnérabilités critiques.

Solution

trivy image --severity CRITICAL nginx:1.18

2. Admission Controller (Kyverno)

Créer une règle pour interdire le tag latest.

Solution

apiVersion: kyverno.io/v1
kind: ClusterPolicy
metadata:
  name: block-latest-tag
spec:
  validationFailureAction: enforce
  rules:
  - name: require-tag
    match:
      any:
      - resources:
          kinds:
          - Pod
    validate:
      message: "Le tag 'latest' est interdit pour la production."
      pattern:
        spec:
          containers:
          - image: "!*:latest"