Sécuriser les conteneurs

Une image de conteneur volumineuse présente une surface d'attaque importante. Nous voulons des images légères, de type « distroless » ou basées sur Alpine.

Règles pour des Dockerfiles sécurisés :

1. Utilisez une version spécifique, pas :latest.
2. Ne jamais exécuter en tant que root : USER node ou USER 1000.
3. Supprimez les shells et les gestionnaires de paquets en production.
4. Utilisez des constructions multi-étapes (multi-stage builds) pour exclure les outils de build de l'image finale.