Publié le 8 décembre 2025 à 09h00. BellSoft lance une nouvelle solution de sécurité pour les conteneurs, visant à répondre à la multiplication des vulnérabilités dans les chaînes d’approvisionnement logicielles des entreprises, et présentée lors de la KubeCon 2025.
- La nouvelle offre, baptisée « Hardened Images », combine l’optimisation de l’exécution Java, le renforcement du système d’exploitation et la correction proactive des vulnérabilités connues (CVE).
- BellSoft affirme que cette approche unifiée peut réduire de 95 % les vulnérabilités connues tout en diminuant la consommation de ressources jusqu’à 30 %.
- La solution s’appuie sur Alpaquita Linux, une distribution légère développée par BellSoft, et propose différents niveaux d’abonnement, dont une version communautaire gratuite.
La sécurité des conteneurs représente un défi majeur pour les équipes de développement. Selon des données de NetRise, une image de conteneur typique peut contenir plus de 600 vulnérabilités connues. Les applications Java sont particulièrement exposées, avec près de la moitié des services Java présentant actuellement des failles de sécurité, un taux significativement plus élevé que pour les langages Go ou d’autres alternatives.
Face à cette situation, BellSoft propose une intégration des contrôles de sécurité directement dans le cycle de vie des conteneurs, répondant ainsi à la demande croissante pour des stratégies de sécurité dites « shift-left », qui visent à détecter et corriger les vulnérabilités le plus tôt possible dans le processus de développement.
Les « Hardened Images » de BellSoft reposent sur Alpaquita Linux, une distribution légère créée par l’entreprise, basée sur BusyBox et APK. Cette approche vise à faciliter la migration des développeurs depuis des distributions Linux plus traditionnelles, souvent confrontés à des problèmes de compatibilité lors du passage à des environnements minimalistes comme Alpine Linux.
Le renforcement de la sécurité est obtenu en minimisant les images, en supprimant les gestionnaires de packages et les composants non essentiels, ce qui verrouille efficacement la configuration. Cette immuabilité empêche les attaquants d’introduire des logiciels malveillants ou de modifier l’environnement d’exécution. La solution inclut également une nomenclature logicielle (SBOM) détaillée, facilitant ainsi les audits et la conformité aux réglementations.
BellSoft indique que les organisations migrant vers Liberica JDK Lite, inclus dans ces images, peuvent constater des gains d’efficacité notables. Des tests internes révèlent une réduction de 30 % de l’utilisation de la mémoire RAM et de l’espace disque. En gérant en interne le développement des correctifs, plutôt que de dépendre uniquement des versions en amont, BellSoft affirme pouvoir offrir des délais de correction plus rapides pour les CVE critiques.
Selon Aleksei Voitylov, directeur technique de BellSoft :
« BellSoft Hardened Images répond à la demande croissante du marché pour des solutions de conteneurs sécurisées et performantes, et témoigne de notre engagement à fournir l’expérience Java la plus complète et la plus fiable. En combinant une optimisation experte de l’exécution Java, une correction proactive des CVE et une base légère et flexible, nos images renforcées offrent aux organisations une plateforme sécurisée et prête pour l’audit qui réduit les vulnérabilités, améliore les performances et simplifie la migration. »
Le marché des images de conteneurs renforcés est en pleine expansion, la sécurité de la chaîne d’approvisionnement étant devenue une priorité pour les entreprises. L’offre de BellSoft s’inscrit dans un paysage concurrentiel, avec des acteurs établis tels que Chainguard, qui propose une suite similaire d’images à faible CVE basée sur son système d’exploitation Wolfi, et Docker, qui fournit également des images durcies. Les images « Distroless » de Google ont quant à elles été les pionnières du concept de suppression des shells et des gestionnaires de packages.
Cependant, les images sans distribution sont souvent critiquées pour leur difficulté de débogage, en raison de l’absence de shell. BellSoft se positionne comme une alternative plus flexible pour les entreprises Java, en tirant parti de son expertise en tant que contributeur majeur d’OpenJDK pour optimiser la couche d’exécution, en plus du système d’exploitation. Cela offre un compromis entre le minimalisme extrême de Distroless et la convivialité des images standard.
Les images renforcées BellSoft sont disponibles immédiatement en trois niveaux. Un niveau communautaire gratuit propose des conteneurs d’exécution Liberica durcis sur Docker Hub. Les niveaux Standard et Premium offrent une prise en charge linguistique plus large, notamment GraalVM, Go et Python, ainsi que des accords de niveau de service (SLA) pour la correction des CVE critiques et un support technique.
