Auditer la sécurité de vos images Docker avec Dockle

Dockle détecte les erreurs de configuration dans vos images Docker en vérifiant leur conformité avec le benchmark CIS Docker et les bonnes pratiques de sécurité. Contrairement à Trivy qui scanne les vulnérabilités des paquets, Dockle se concentre sur la construction de l’image : utilisateur root, secrets exposés, cache non nettoyé, absence de HEALTHCHECK. En 30 secondes, vous savez si votre image respecte les standards de sécurité.

Ce que vous allez apprendre

Installer Dockle sur Linux ou macOS
Analyser une image Docker et comprendre les résultats
Interpréter les codes CIS (CIS-DI-0001, DKL-DI-0005, etc.)
Personnaliser l’analyse avec les options essentielles
Intégrer Dockle dans un pipeline CI/CD (GitLab CI, GitHub Actions)
Corriger les problèmes les plus fréquents

Qu’est-ce que Dockle ?

Dockle est un linter de sécurité pour images Docker. Il vérifie que votre image respecte les recommandations du CIS Docker Benchmark, un standard reconnu en sécurité des conteneurs.

Analogie : Dockle est à votre image Docker ce qu’un contrôle technique est à une voiture. Il ne vérifie pas si le moteur a des pièces défectueuses (vulnérabilités CVE — c’est le rôle de Trivy), mais si la voiture est bien configurée : ceintures présentes, freins fonctionnels, phares réglés.

Ce que Dockle vérifie

Catégorie	Exemples de contrôles
Utilisateur	Image qui tourne en root ?
Secrets	Variables d’environnement sensibles (PASSWORD, TOKEN) ?
Fichiers	Clés SSH, certificats privés dans l’image ?
Cache	Cache apt/yum non nettoyé ?
Bonnes pratiques	HEALTHCHECK présent ? Tag `latest` utilisé ?

Dockle vs Trivy vs Hadolint

Outil	Analyse	Quand l’utiliser
Dockle	Configuration de l’image finale	Après le build, avant le push
Trivy	Vulnérabilités des paquets (CVE)	Après le build, avant le push
Hadolint	Syntaxe du Dockerfile	Pendant l’écriture du Dockerfile

Installation de Dockle

VERSION=$(
  curl --silent "https://api.github.com/repos/goodwithtech/dockle/releases/latest" | \
  grep '"tag_name":' | \
  sed -E 's/.*"v([^"]+)".*/\1/'
)
curl -L -o dockle.deb \
  "https://github.com/goodwithtech/dockle/releases/download/v${VERSION}/dockle_${VERSION}_Linux-64bit.deb"
sudo dpkg -i dockle.deb && rm dockle.deb

VERSION=$(
  curl --silent "https://api.github.com/repos/goodwithtech/dockle/releases/latest" | \
  grep '"tag_name":' | \
  sed -E 's/.*"v([^"]+)".*/\1/'
)
sudo rpm -ivh \
  "https://github.com/goodwithtech/dockle/releases/download/v${VERSION}/dockle_${VERSION}_Linux-64bit.rpm"

Avec Homebrew :

brew install goodwithtech/r/dockle

Avec apk :

VERSION=$(
  curl --silent "https://api.github.com/repos/goodwithtech/dockle/releases/latest" | \
  grep '"tag_name":' | \
  sed -E 's/.*"v([^"]+)".*/\1/'
)
curl -L -o dockle.apk \
  "https://github.com/goodwithtech/dockle/releases/download/v${VERSION}/dockle_${VERSION}_Linux-64bit.apk"
apk add --allow-untrusted dockle.apk && rm dockle.apk

Vérification :

dockle --version
# dockle version 0.4.15

Premier scan avec Dockle

Analyser une image

La commande de base est simple :

dockle NOM_IMAGE:TAG

Exemple avec une image problématique :

Voici un Dockerfile volontairement mal configuré :

FROM ubuntu:latest
ENV ADMIN_PASSWORD=secret123
RUN apt-get update && apt-get install -y curl
EXPOSE 8080
CMD ["echo", "Hello"]

Après construction (docker build -t test-bad:v1 .), le scan Dockle révèle :

dockle test-bad:v1

FATAL   - CIS-DI-0010: Do not store credential in environment variables/files
        * Suspicious ENV key found : ADMIN_PASSWORD on ENV ADMIN_PASSWORD=*******

FATAL   - DKL-DI-0005: Clear apt-get caches
        * Use 'rm -rf /var/lib/apt/lists' after 'apt-get install|update'

WARN    - CIS-DI-0001: Create a user for the container
        * Last user should not be root

INFO    - CIS-DI-0005: Enable Content trust for Docker
        * export DOCKER_CONTENT_TRUST=1 before docker pull/build

INFO    - CIS-DI-0006: Add HEALTHCHECK instruction to the container image
        * not found HEALTHCHECK statement

INFO    - CIS-DI-0008: Confirm safety of setuid/setgid files
        * setuid file: urwxr-xr-x usr/bin/passwd
        * setuid file: urwxr-xr-x usr/bin/su
        [...] # Fichiers système normaux

Comprendre les niveaux de gravité

Niveau	Signification	Action
FATAL	Faille de sécurité critique	Corriger obligatoirement
WARN	Configuration risquée	Corriger fortement recommandé
INFO	Amélioration possible	Évaluer selon le contexte
PASS	Contrôle réussi	Rien à faire

Sortie JSON pour automatisation

dockle --format json test-bad:v1

{
  "image": "test-bad:v1",
  "summary": {
    "fatal": 2,
    "warn": 1,
    "info": 3,
    "skip": 0,
    "pass": 10
  },
  "details": [
    {
      "code": "CIS-DI-0010",
      "title": "Do not store credential in environment variables/files",
      "level": "FATAL",
      "alerts": [
        "Suspicious ENV key found : ADMIN_PASSWORD on ENV ADMIN_PASSWORD=*******"
      ]
    }
  ]
}

Comprendre les codes de vérification

Dockle utilise deux familles de codes :

CIS-DI-XXXX : Règles du CIS Docker Benchmark (standard industriel)
DKL-DI-XXXX : Règles spécifiques à Dockle (bonnes pratiques)

Codes CIS les plus importants

Code	Règle	Comment corriger
CIS-DI-0001	Ne pas utiliser root	Ajouter `USER appuser`
CIS-DI-0005	Activer Content Trust	`export DOCKER_CONTENT_TRUST=1`
CIS-DI-0006	Ajouter HEALTHCHECK	`HEALTHCHECK CMD curl -f http://localhost/`
CIS-DI-0008	Vérifier setuid/setgid	Supprimer les bits avec `chmod`
CIS-DI-0010	Pas de secrets en clair	Utiliser des secrets Docker ou variables d’exécution

Codes Dockle spécifiques

Code	Règle	Comment corriger
DKL-DI-0001	Éviter `sudo`	Utiliser `USER root` puis `USER appuser`
DKL-DI-0002	Éviter fichiers sensibles	Ajouter au `.dockerignore`
DKL-DI-0003	Éviter `latest`	Utiliser un tag versionné
DKL-DI-0004	Utiliser `--no-cache` (apk)	`apk add --no-cache pkg`
DKL-DI-0005	Nettoyer le cache apt	`rm -rf /var/lib/apt/lists/*`
DKL-DI-0006	Utiliser COPY plutôt que ADD	Remplacer ADD par COPY

Options essentielles

Contrôler le code de sortie

Par défaut, Dockle retourne toujours 0. Pour échouer en CI/CD :

# Échoue si WARN ou FATAL détecté
dockle --exit-code 1 mon-image:v1

# Échoue uniquement sur FATAL
dockle --exit-code 1 --exit-level FATAL mon-image:v1

Ignorer des règles

Certaines règles peuvent ne pas s’appliquer à votre contexte :

# Ignorer une règle spécifique
dockle --ignore CIS-DI-0005 mon-image:v1

# Ignorer plusieurs règles
dockle -i CIS-DI-0005 -i CIS-DI-0008 mon-image:v1

Personnaliser la détection de secrets

Dockle détecte automatiquement les variables sensibles (PASSWORD, TOKEN, KEY…). Vous pouvez personnaliser cette détection :

# Accepter une variable normalement suspecte
dockle --accept-key GPG_KEY --accept-key CACHE_KEY mon-image:v1

# Ajouter des mots sensibles personnalisés
dockle --sensitive-word api_secret --sensitive-word db_pass mon-image:v1

# Ajouter des fichiers sensibles personnalisés
dockle --sensitive-file .git --sensitive-file .env mon-image:v1

# Ajouter des extensions sensibles personnalisées
dockle --sensitive-file-extension pfx --sensitive-file-extension p12 mon-image:v1

Formats de sortie

# Sortie par défaut (texte coloré)
dockle mon-image:v1

# JSON pour parsing automatisé
dockle --format json mon-image:v1

# SARIF pour outils de sécurité (GitHub Security, SonarQube...)
dockle --format sarif mon-image:v1 > dockle-results.sarif

Analyser une image distante

# Depuis un registre (nécessite authentification)
dockle --username user --password pass registry.example.com/mon-image:v1

# Connexion non sécurisée (pour registres internes)
dockle --insecure registry.internal:5000/mon-image:v1

Intégration CI/CD

GitLab CI

dockle_scan:
  stage: test
  image: docker:27.5
  services:
    - docker:27.5-dind
  variables:
    DOCKLE_VERSION: "0.4.15"
  before_script:
    - apk add --no-cache curl
    - |
      curl -L -o /usr/local/bin/dockle \
        "https://github.com/goodwithtech/dockle/releases/download/v${DOCKLE_VERSION}/dockle_${DOCKLE_VERSION}_Linux-64bit"
    - chmod +x /usr/local/bin/dockle
  script:
    - docker build -t $CI_PROJECT_NAME:$CI_COMMIT_SHA .
    - dockle --exit-code 1 --exit-level WARN $CI_PROJECT_NAME:$CI_COMMIT_SHA
  rules:
    - if: $CI_PIPELINE_SOURCE == "merge_request_event"

GitHub Actions

name: Dockle Security Scan

on:
  push:
    branches: [main]
  pull_request:
    branches: [main]

jobs:
  dockle:
    runs-on: ubuntu-24.04
    steps:
      - name: Checkout
        uses: actions/checkout@v4

      - name: Build image
        run: docker build -t app:${{ github.sha }} .

      - name: Install Dockle
        env:
          DOCKLE_VERSION: "0.4.15"
        run: |
          curl -L -o dockle.deb \
            "https://github.com/goodwithtech/dockle/releases/download/v${DOCKLE_VERSION}/dockle_${DOCKLE_VERSION}_Linux-64bit.deb"
          sudo dpkg -i dockle.deb

      - name: Run Dockle
        run: dockle --exit-code 1 --format sarif -o dockle-results.sarif app:${{ github.sha }}

      - name: Upload SARIF
        uses: github/codeql-action/upload-sarif@v3
        with:
          sarif_file: dockle-results.sarif

Exemple de Dockerfile conforme

Voici un Dockerfile qui passe tous les contrôles Dockle :

FROM ubuntu:24.04

# Installer les dépendances et nettoyer le cache
RUN apt-get update && \
    apt-get install -y --no-install-recommends curl && \
    rm -rf /var/lib/apt/lists/*

# Créer un utilisateur non-root
RUN useradd -m -s /bin/bash appuser

WORKDIR /app

# Changer vers l'utilisateur non-root
USER appuser

# Ajouter un healthcheck
HEALTHCHECK --interval=30s --timeout=3s \
  CMD curl -f http://localhost:8080/health || exit 1

EXPOSE 8080
CMD ["./app"]

Résultat Dockle :

dockle app-conforme:v1

INFO    - CIS-DI-0005: Enable Content trust for Docker
        * export DOCKER_CONTENT_TRUST=1 before docker pull/build

INFO    - CIS-DI-0008: Confirm safety of setuid/setgid files
        * setuid file: urwxr-xr-x usr/bin/passwd
        [...] # Fichiers système normaux de l'image de base

Seuls des INFO restent, liés à l’image de base Ubuntu. Aucun FATAL ni WARN.

Dépannage

Problèmes courants

Symptôme	Cause probable	Solution
`FATAL CIS-DI-0010`	Variable sensible détectée	Utiliser `--accept-key` ou supprimer la variable
`FATAL DKL-DI-0005`	Cache apt non nettoyé	Ajouter `rm -rf /var/lib/apt/lists/*`
`WARN CIS-DI-0001`	Image tourne en root	Ajouter `USER nonroot`
`timeout exceeded`	Image trop volumineuse	Utiliser `--timeout 5m`
`permission denied`	Socket Docker inaccessible	Vérifier les droits sur `/var/run/docker.sock`

Variables d’environnement

Toutes les options peuvent être passées via variables d’environnement :

Variable	Équivalent option
`DOCKLE_IGNORES`	`--ignore`
`DOCKLE_ACCEPT_KEYS`	`--accept-key`
`DOCKLE_EXIT_CODE`	`--exit-code`
`DOCKLE_EXIT_LEVEL`	`--exit-level`
`DOCKLE_OUTPUT_FORMAT`	`--format`
`DOCKLE_TIMEOUT`	`--timeout`

export DOCKLE_IGNORES="CIS-DI-0005,CIS-DI-0008"
export DOCKLE_EXIT_CODE=1
dockle mon-image:v1

À retenir

Dockle analyse la configuration, pas les vulnérabilités — utilisez-le avec Trivy
FATAL et WARN doivent être corrigés avant mise en production
Toujours spécifier --exit-code 1 en CI/CD pour bloquer les images non conformes
Pinnez la version de Dockle dans vos pipelines pour la reproductibilité
Utilisez .dockleignore pour ignorer les règles non applicables à votre contexte
Les codes CIS-DI sont des standards reconnus — leur respect facilite les audits de sécurité
Combinez Hadolint + Dockle + Trivy pour une couverture complète

Prochaines étapes

Scanner les vulnérabilités avec Trivy Détecter les CVE dans vos images Docker

Linter vos Dockerfile avec Hadolint Valider la syntaxe et les bonnes pratiques Dockerfile

Sécuriser Docker Guide complet de durcissement Docker

Écrire un Dockerfile optimisé Bonnes pratiques pour des images légères et sécurisées

Plus d’infos

Questions fréquentes

Quelle est la différence entre Dockle et Trivy ?

Dockle analyse la configuration de l'image Docker (utilisateur root, secrets, cache) tandis que Trivy scanne les vulnérabilités CVE des paquets. Les deux sont complémentaires pour une sécurité complète.

Qu'est-ce que le CIS Docker Benchmark que vérifie Dockle ?

Le CIS Docker Benchmark est un standard de sécurité du Center for Internet Security définissant les bonnes pratiques Docker : pas de root, Content Trust, HEALTHCHECK, pas de secrets. Dockle vérifie ces règles automatiquement.

Que signifient les niveaux FATAL, WARN et INFO dans Dockle ?

FATAL indique une faille critique à corriger obligatoirement, WARN une configuration risquée à corriger, INFO une amélioration possible, PASS un contrôle réussi. Utilisez --exit-code 1 en CI/CD pour bloquer sur FATAL/WARN.

Dockle classe les problèmes par gravité :

Niveau	Signification	Action
FATAL	Faille critique	Corriger obligatoirement
WARN	Configuration risquée	Corriger fortement recommandé
INFO	Amélioration possible	Évaluer selon contexte
PASS	Contrôle réussi	Rien à faire

En CI/CD, utilisez --exit-code 1 pour bloquer sur FATAL/WARN.

Comment ignorer certaines règles Dockle qui ne s'appliquent pas à mon contexte ?

Utilisez l'option --ignore ou -i en ligne de commande, ou créez un fichier .dockleignore à la racine du projet avec les codes à ignorer (un par ligne). Dockle lit automatiquement ce fichier.

Deux méthodes pour ignorer des règles :1. En ligne de commande :

dockle --ignore CIS-DI-0005 -i CIS-DI-0008 mon-image:v1

2. Avec un fichier .dockleignore :

CIS-DI-0005
CIS-DI-0008

Dockle lira automatiquement ce fichier à la racine du projet.

Comment intégrer Dockle dans un pipeline CI/CD ?

Installez Dockle, buildez l'image, scannez avec --exit-code 1 pour échouer sur les problèmes. Exemple : dockle --exit-code 1 app:tag. Pinnez toujours la version de Dockle pour la reproductibilité des builds.

L'intégration est simple :

Installer Dockle dans le job (ou utiliser une image Docker pré-configurée)
Builder l'image Docker
Scanner avec --exit-code 1 pour échouer si des problèmes sont détectés

# GitLab CI exemple
script:
  - docker build -t app:$CI_COMMIT_SHA .
  - dockle --exit-code 1 app:$CI_COMMIT_SHA

Important : pinnez toujours la version de Dockle pour la reproductibilité.

Comment corriger l'erreur CIS-DI-0010 (secrets dans les variables d'environnement) ?

CIS-DI-0010 détecte des secrets (PASSWORD, TOKEN, KEY) dans les variables d'environnement. Supprimez la variable du Dockerfile et passez-la au runtime avec docker run -e, ou utilisez Docker Secrets. Pour un faux positif, utilisez --accept-key.

L'erreur CIS-DI-0010 signifie que Dockle a détecté une variable d'environnement suspecte (PASSWORD, TOKEN, KEY...).Solutions :

Supprimer la variable du Dockerfile et la passer au runtime :
```
docker run -e API_KEY=xxx mon-image
```
Utiliser Docker Secrets pour les données sensibles
Si la variable est un faux positif, l'accepter :
```
dockle --accept-key GPG_KEY mon-image:v1
```

Comment corriger l'erreur CIS-DI-0001 (conteneur en root) ?

CIS-DI-0001 signifie que l'image tourne en root. Créez un utilisateur avec RUN useradd -m appuser puis ajoutez USER appuser à la fin du Dockerfile, après les commandes nécessitant root comme apt install.

L'erreur CIS-DI-0001 indique que votre image s'exécute en tant que root, ce qui est un risque de sécurité.Correction : créez un utilisateur non-root dans votre Dockerfile :

# Créer un utilisateur
RUN useradd -m -s /bin/bash appuser

# Changer vers cet utilisateur (à la fin du Dockerfile)
USER appuser

Assurez-vous que l'instruction USER est après toutes les commandes nécessitant root (apt install, etc.).

Comment corriger l'erreur DKL-DI-0005 (cache apt non nettoyé) ?

DKL-DI-0005 signifie que le cache apt n'a pas été nettoyé. Ajoutez rm -rf /var/lib/apt/lists/* à la fin de votre RUN apt-get install. Pour Alpine, utilisez apk add --no-cache.

L'erreur DKL-DI-0005 indique que le cache apt/yum n'a pas été nettoyé, ce qui alourdit l'image inutilement.Correction : ajoutez le nettoyage dans la même instruction RUN :

RUN apt-get update && \
    apt-get install -y --no-install-recommends curl && \
    rm -rf /var/lib/apt/lists/*

Pour Alpine avec apk :

RUN apk add --no-cache curl

Comment générer un rapport SARIF avec Dockle pour GitHub Security ?

Utilisez dockle --format sarif -o results.sarif image:tag pour générer un rapport SARIF. Dans GitHub Actions, uploadez-le avec github/codeql-action/upload-sarif pour voir les résultats dans l'onglet Security.

Dockle supporte le format SARIF (Static Analysis Results Interchange Format), compatible avec GitHub Security, SonarQube et d'autres outils.

dockle --format sarif -o dockle-results.sarif mon-image:v1

Dans GitHub Actions, uploadez le fichier avec :

- uses: github/codeql-action/upload-sarif@v3
  with:
    sarif_file: dockle-results.sarif

Les résultats apparaîtront dans l'onglet Security de votre repo.

Comment détecter des fichiers sensibles personnalisés avec Dockle ?

Utilisez --sensitive-file pour ajouter des fichiers sensibles (ex: .git, .env) et --sensitive-file-extension pour des extensions (ex: .pfx, .p12). Depuis v0.4.15, les fichiers .env sont détectés automatiquement.

Dockle détecte automatiquement les fichiers sensibles courants (clés SSH, certificats). Depuis la version 0.4.15, les fichiers .env sont également détectés.Pour ajouter vos propres fichiers sensibles :

# Fichiers spécifiques
dockle --sensitive-file .git --sensitive-file config.secret mon-image:v1

# Extensions spécifiques
dockle --sensitive-file-extension pfx --sensitive-file-extension p12 mon-image:v1

Ces options déclenchent une alerte si les fichiers sont trouvés dans l'image.