Docker now runs in 92% of IT organizations — up from 80% in 2024 — and the container market is projected to reach $19.26 billion by 2031 (CAGR 21%). But as adoption peaks, so does the attack surface. The latest proof: CVE-2026-34040, a CVSS 8.8 authorization bypass discovered by Cyera Research in March 2026 that lets any attacker with restricted Docker API access create privileged containers with full host filesystem access — using a single oversized HTTP request. And that’s just the start.

Docker est désormais utilisé dans 92% des organisations IT — contre 80% en 2024 — et le marché des containers est projeté à 19,26 milliards de dollars en 2031 (CAGR 21%). Mais à mesure que l’adoption culmine, la surface d’attaque aussi. La preuve la plus récente : CVE-2026-34040, un contournement d’autorisation CVSS 8.8 découvert par Cyera Research en mars 2026, qui permet à tout attaquant ayant un accès API Docker restreint de créer des containers privilégiés avec accès complet au système de fichiers hôte — via une simple requête HTTP surdimensionnée. Et ce n’est que le début.

This article gives you the full technical breakdown of CVE-2026-34040, a tour of the other critical Docker vulnerabilities disclosed in 2026, a realistic look at the base image problem (87% of container images carry high or critical CVEs), and a practical hardening checklist you can apply today.

Cet article vous propose une analyse technique complète de CVE-2026-34040, un tour d’horizon des autres vulnérabilités critiques Docker divulguées en 2026, un état des lieux réaliste du problème des base images (87% des images container portent des CVE élevées ou critiques), et une checklist de durcissement pratique applicable immédiatement.

92%
of IT orgs run Docker (2026)
des orgs IT utilisent Docker (2026)
Source: byteiota.com / programming-helper.com, 2026
87%
of container images have high/critical CVEs
des images container portent des CVE élevées/critiques
Source: Sysdig Cloud-Native Security Report, 2025
CVSS 8.8
CVE-2026-34040 — Docker AuthZ bypass
CVE-2026-34040 — Contournement AuthZ Docker
Source: NVD / Cyera Research, March 2026
98%
of CVE instances are outside top 20 images
des instances CVE sont hors des 20 images populaires
Source: Chainguard / InfoQ, January 2026

CVE-2026-34040: The Vulnerability That Keeps Coming Back

CVE-2026-34040 : La vulnérabilité qui revient sans cesse

To understand CVE-2026-34040, you need to go back to 2018. A researcher discovered that specially crafted API requests could cause the Docker daemon to call authorization (AuthZ) plugins without forwarding the request body. The plugin, seeing no body to inspect, would approve the request. Docker fixed it in Engine v18.09.1 in January 2019 — but only for the zero-length body case.

Pour comprendre CVE-2026-34040, il faut remonter à 2018. Un chercheur a découvert que des requêtes API spécialement conçues pouvaient amener le démon Docker à appeler les plugins d’autorisation (AuthZ) sans transmettre le corps de la requête. Le plugin, ne voyant aucun corps à inspecter, approuvait la requête. Docker a corrigé cela dans Engine v18.09.1 en janvier 2019 — mais uniquement pour le cas du corps vide (zéro octet).

The fix was incomplete. The bug regressed in later branches and was rediscovered in early 2024. In July 2024, Docker published CVE-2024-41110 (CVSS 10.0 — maximum severity), fixing the zero-byte body bypass in versions 23.0.14, 26.1.4, and 27.1.0. Teams that patched felt safe. They weren’t.

La correction était incomplète. Le bug est réapparu dans des branches ultérieures et a été redécouvert début 2024. En juillet 2024, Docker a publié CVE-2024-41110 (CVSS 10.0 — sévérité maximale), corrigeant le contournement corps vide dans les versions 23.0.14, 26.1.4 et 27.1.0. Les équipes qui ont patché se sont cru en sécurité. Elles ne l’étaient pas.

On March 24, 2026, Cyera Research reported a new bypass: CVE-2026-34040. The 2024 fix handled the zero-length case but left the upper bound completely open. When an API request body exceeds 1 MB, Docker’s middleware silently drops the body before the AuthZ plugin sees it. The plugin approves the empty-looking request. The daemon then processes the full body and creates the requested container — potentially with --privileged and a mounted host filesystem.

Le 24 mars 2026, Cyera Research a signalé un nouveau contournement : CVE-2026-34040. Le correctif de 2024 gérait le cas vide (zéro octet) mais laissait la borne supérieure complètement ouverte. Quand le corps d’une requête API dépasse 1 Mo, le middleware Docker supprime silencieusement le corps avant que le plugin AuthZ ne le voie. Le plugin approuve la requête qui semble vide. Le démon traite ensuite le corps complet et crée le container demandé — potentiellement avec --privileged et le système de fichiers hôte monté.

AuthZ Bypass Timeline

Chronologie du contournement AuthZ

2018

Zero-body bypass discovered. Fixed in Docker Engine v18.09.1 (Jan 2019) — zero-length case only.

Contournement corps-vide découvert. Corrigé dans Docker Engine v18.09.1 (jan. 2019) — uniquement le cas zéro octet.

Jul 2024

CVE-2024-41110 (CVSS 10.0) published. Bug regressed in newer branches. Patched in 23.0.14, 26.1.4, 27.1.0.

CVE-2024-41110 (CVSS 10.0) publiée. Bug réapparu dans de nouvelles branches. Patchée dans 23.0.14, 26.1.4, 27.1.0.

Mar 24 2026

CVE-2026-34040 (CVSS 8.8) reported by Cyera Research. The >1 MB body bypass — the fix only covered zero-length.

CVE-2026-34040 (CVSS 8.8) signalée par Cyera Research. Le contournement corps >1 Mo — le correctif ne couvrait que zéro octet.

Mar 25 2026

Docker Engine 29.3.1 released with fail-closed fix. Docker Desktop 4.66.1 ships on Mar 26-27.

Docker Engine 29.3.1 publié avec un correctif « fail-closed ». Docker Desktop 4.66.1 disponible les 26-27 mars.

How the CVE-2026-34040 Attack Works

Comment fonctionne l’attaque CVE-2026-34040

The attack requires an attacker to already have access to the Docker API — but that access is restricted by an AuthZ plugin (OPA, Prisma Cloud, a custom policy, etc.). Here’s the flow:

L’attaque suppose que l’attaquant dispose déjà d’un accès à l’API Docker — mais cet accès est restreint par un plugin AuthZ (OPA, Prisma Cloud, une politique personnalisée, etc.). Voici le déroulement :

  1. Attacker crafts a request to POST /containers/create containing a privileged container config (e.g., "Privileged": true, Binds: ["/:/host"]).
  2. L’attaquant construit une requête vers POST /containers/create contenant une config de container privilégié (ex. "Privileged": true, Binds: ["/:/host"]).
  3. The body is padded with arbitrary data (comments, spaces) until it exceeds 1 MB.
  4. Le corps est rembourré avec des données arbitraires (commentaires, espaces) jusqu’à dépasser 1 Mo.
  5. Docker middleware drops the body before passing it to the AuthZ plugin. The plugin receives an empty body and — seeing nothing to deny — approves the request.
  6. Le middleware Docker supprime le corps avant de le transmettre au plugin AuthZ. Le plugin reçoit un corps vide et — ne voyant rien à refuser — approuve la requête.
  7. The Docker daemon processes the full original body and creates a privileged container with host filesystem access.
  8. Le démon Docker traite le corps original complet et crée un container privilégié avec accès au système de fichiers hôte.
  9. From inside the container, the attacker reads /host/etc/shadow, cloud credentials, SSH keys, kubeconfig — anything on the host.
  10. Depuis l’intérieur du container, l’attaquant lit /host/etc/shadow, les credentials cloud, les clés SSH, le kubeconfig — tout ce qui se trouve sur l’hôte.
# Conceptual attack — pad to >1MB to bypass AuthZ plugin inspection
curl -X POST http://docker-host:2376/containers/create \
  -H "Content-Type: application/json" \
  -d '{
    "Image": "alpine",
    "Privileged": true,
    "HostConfig": {
      "Binds": ["/:/host"],
      "Privileged": true
    },
    "Cmd": ["sh", "-c", "cat /host/root/.ssh/id_rsa && cat /host/etc/shadow"],
    "_padding": "[... 1MB+ of arbitrary data ...]"
  }'

# AuthZ plugin saw: {} (empty body) → approved
# Docker daemon processed: full privileged config → container created

Cyera Research also noted that AI agents are particularly at risk: an agent debugging a Kubernetes issue might naturally try to access kubeconfig, encounter a permission error, and — if it has Docker API access — independently construct the padded request to retrieve the file. The vulnerability is not only exploitable by humans.

Cyera Research a également noté que les agents IA sont particulièrement vulnérables : un agent déboguant un problème Kubernetes pourrait naturellement tenter d’accéder à kubeconfig, rencontrer une erreur de permission, et — s’il dispose d’un accès à l’API Docker — construire indépendamment la requête rembourrée pour récupérer le fichier. La vulnérabilité n’est pas uniquement exploitable par des humains.

Are you affected? You are vulnerable if you run Docker Engine older than 29.3.1 (or Docker Desktop older than 4.66.1) AND use AuthZ plugins such as OPA, Prisma Cloud, or a custom authorization layer. Default Docker installations without AuthZ plugins are not exposed to this specific CVE — but remain exposed to all the others below.

Êtes-vous affecté ? Vous êtes vulnérable si vous utilisez Docker Engine antérieur à 29.3.1 (ou Docker Desktop antérieur à 4.66.1) ET des plugins AuthZ comme OPA, Prisma Cloud ou une couche d’autorisation personnalisée. Les installations Docker par défaut sans plugin AuthZ ne sont pas exposées à ce CVE spécifique — mais restent exposées à tous les autres ci-dessous.

Other Critical Docker Vulnerabilities Disclosed in 2026

Autres vulnérabilités Docker critiques divulguées en 2026

CVE-2026-34040 gets the headlines, but it wasn’t the only significant Docker vulnerability this year. Here are the others you need on your radar:

CVE-2026-34040 fait les gros titres, mais ce n’est pas la seule vulnérabilité Docker significative de cette année. Voici les autres à surveiller :

CVSS 8.8 CVE-2026-34040 Docker Engine < 29.3.1 — AuthZ plugin bypass via oversized body Docker Engine < 29.3.1 — Contournement plugin AuthZ via corps surdimensionné

Privileged container creation bypassing authorization policies. Patch: Docker Engine 29.3.1 / Desktop 4.66.1. Source: Cyera Research, March 2026.

Création de container privilégié contournant les politiques d’autorisation. Patch : Docker Engine 29.3.1 / Desktop 4.66.1. Source : Cyera Research, mars 2026.

Critical Ask Gordon AI Flaw Docker Desktop < 4.50.0 — RCE via malicious image metadata Docker Desktop < 4.50.0 — RCE via métadonnées d’image malicieuses

Docker’s “Ask Gordon” AI assistant could execute arbitrary code and exfiltrate data when analyzing a maliciously crafted container image. Fixed in Docker Desktop 4.50.0 (February 2026).

L’assistant IA « Ask Gordon » de Docker pouvait exécuter du code arbitraire et exfiltrer des données lors de l’analyse d’une image container malicieuse. Corrigé dans Docker Desktop 4.50.0 (février 2026).

High CVE-2026-2664 Docker Desktop ≤ 4.61.0 — out-of-bounds read in gRPC-FUSE kernel module Docker Desktop ≤ 4.61.0 — lecture hors limites dans le module noyau gRPC-FUSE

Out-of-bounds read in the grpcfuse kernel module present in the Linux VM in Docker Desktop for Windows, Linux and macOS. Fixed in 4.62.0, February 23, 2026.

Lecture hors limites dans le module noyau grpcfuse présent dans la VM Linux de Docker Desktop pour Windows, Linux et macOS. Corrigé dans la version 4.62.0, le 23 février 2026.

High CVE-2025-9074 Docker Desktop — malicious container accesses host Docker Engine API Docker Desktop — container malicieux accède à l’API Docker Engine hôte

A malicious container could access the Docker Engine and launch additional containers without requiring the Docker socket to be mounted — enabling a container escape scenario without the traditional socket mount requirement.

Un container malicieux pouvait accéder au Docker Engine et lancer des containers supplémentaires sans avoir besoin de monter le socket Docker — permettant un scénario d’évasion de container sans le montage de socket traditionnel.

High CVE-2026-28400 Docker Model Runner — runtime flag injection Docker Model Runner — injection de flags d’exécution

Runtime flag injection vulnerability in Docker’s Model Runner component. Affects teams using Docker for local AI model serving.

Vulnérabilité d’injection de flags dans le composant Model Runner de Docker. Concerne les équipes utilisant Docker pour servir des modèles IA localement.

The Base Image Problem: 87% of Container Images Are Vulnerable

Le problème des base images : 87% des images container sont vulnérables

Runtime engine vulnerabilities like CVE-2026-34040 grab attention, but the more pervasive threat is the one baked directly into your images. According to the Sysdig 2025 Cloud-Native Security and Usage Report, 87% of container images in production have at least one high or critical vulnerability. The primary cause: teams pull base images once, build their app on top, and never update. Every package in a base image is a package that could have a CVE.

Les vulnérabilités du moteur d’exécution comme CVE-2026-34040 font la une, mais la menace la plus répandue est celle directement intégrée dans vos images. Selon le Rapport Sysdig 2025 Cloud-Native Security and Usage, 87% des images container en production présentent au moins une vulnérabilité élevée ou critique. La cause principale : les équipes tirent les base images une fois, construisent leur application par-dessus, et ne mettent jamais à jour. Chaque package d’une base image est un package susceptible d’avoir un CVE.

A January 2026 study by Chainguard analyzed more than 1,800 container image projects and found that 98% of CVE instances occurred in images outside the top 20 popular images. The widely-monitored official images are relatively clean — the long tail of less-common images is where the risk hides.

Une étude Chainguard de janvier 2026 a analysé plus de 1 800 projets d’images container et a constaté que 98% des instances CVE se trouvaient dans des images hors des 20 images populaires. Les images officielles largement surveillées sont relativement propres — c’est dans la longue traîne des images moins courantes que se cache le risque.

The XZ Utils backdoor is the most dramatic illustration. In August 2025, Binarly researchers discovered that dozens of official Debian-based Docker Hub images still contained CVE-2024-3094 (the XZ Utils backdoor, CVSS 10.0) — months after its public disclosure in March 2024. If official, actively maintained images can carry a maximum-severity backdoor for months, imagine the state of the average enterprise’s internal image registry.

La porte d’entrée XZ Utils est l’illustration la plus frappante. En août 2025, des chercheurs de Binarly ont découvert que des dizaines d’images Docker Hub officielles basées sur Debian contenaient encore CVE-2024-3094 (la backdoor XZ Utils, CVSS 10.0) — des mois après sa divulgation publique en mars 2024. Si des images officielles activement maintenues peuvent embarquer une backdoor de sévérité maximale pendant des mois, imaginez l’état du registre d’images interne d’une entreprise lambda.

Docker Security Hardening Checklist for 2026

Checklist de durcissement de la sécurité Docker pour 2026

Here is a practical, prioritized hardening checklist. Each item maps to a known attack vector from 2025-2026 incidents.

Voici une checklist de durcissement pratique et priorisée. Chaque point correspond à un vecteur d’attaque connu des incidents 2025-2026.

Engine & Daemon

Engine & Daemon

  • Upgrade to Docker Engine 29.3.1+ (patches CVE-2026-34040 and CVE-2024-41110). Or Docker Desktop 4.66.1+.
  • Mettre à jour vers Docker Engine 29.3.1+ (corrige CVE-2026-34040 et CVE-2024-41110). Ou Docker Desktop 4.66.1+.
  • Enable rootless mode — run the Docker daemon as a non-root user to limit the blast radius of engine-level vulnerabilities.
  • Activer le mode rootless — exécuter le démon Docker en tant qu’utilisateur non-root pour limiter le rayon d’impact des vulnérabilités de moteur.
  • Restrict Docker socket access — never mount /var/run/docker.sock into containers unless absolutely required.
  • Restreindre l’accès au socket Docker — ne jamais monter /var/run/docker.sock dans les containers sauf nécessité absolue.
  • Use TLS for the Docker API if you expose it on a network port. Never expose port 2375 (unencrypted) to the internet.
  • Utiliser TLS pour l’API Docker si vous l’exposez sur un port réseau. Ne jamais exposer le port 2375 (non chiffré) sur internet.

Images & Builds

Images & Builds

  • Use minimal base images — Alpine, distroless, or Docker Hardened Images (DHI). Fewer packages = fewer CVEs.
  • Utiliser des base images minimales — Alpine, distroless ou Docker Hardened Images (DHI). Moins de packages = moins de CVEs.
  • Pin base image digests, not just tags. Tags are mutable; FROM alpine:3.19@sha256:... is immutable.
  • Pinner les digests des base images, pas seulement les tags. Les tags sont mutables ; FROM alpine:3.19@sha256:... est immuable.
  • Never run containers as root — add USER nonroot or create a dedicated user in your Dockerfile.
  • Ne jamais exécuter les containers en root — ajouter USER nonroot ou créer un utilisateur dédié dans votre Dockerfile.
  • Scan images in CI with Trivy, Grype, or Docker Scout before pushing to any registry.
  • Scanner les images en CI avec Trivy, Grype ou Docker Scout avant de pousser vers un registre.
  • Rebuild images regularly — base image CVEs are patched upstream; you only benefit if you rebuild.
  • Reconstruire les images régulièrement — les CVE des base images sont corrigées en amont ; vous n’en bénéficiez qu’en reconstruisant.

Runtime

Runtime

  • Drop all capabilities, add only what you need: --cap-drop=ALL --cap-add=NET_BIND_SERVICE.
  • Supprimer toutes les capabilities, ajouter uniquement ce dont vous avez besoin : --cap-drop=ALL --cap-add=NET_BIND_SERVICE.
  • Use read-only filesystems: --read-only with explicit tmpfs for writable dirs.
  • Utiliser des systèmes de fichiers en lecture seule : --read-only avec tmpfs explicite pour les répertoires accessibles en écriture.
  • Apply seccomp profiles — Docker’s default profile blocks 44+ dangerous syscalls; don’t disable it.
  • Appliquer des profils seccomp — le profil par défaut de Docker bloque 44+ appels système dangereux ; ne le désactivez pas.
  • Never use --privileged in production — it disables all Linux security mechanisms for the container.
  • Ne jamais utiliser --privileged en production — cela désactive tous les mécanismes de sécurité Linux pour le container.

Container Dependency Monitoring: The Missing Layer

Monitoring des dépendances container : la couche manquante

Image scanning at build time catches known vulnerabilities as of the scan date — but new CVEs are disclosed every day. A vulnerability that didn’t exist when you built your image can appear tomorrow. That’s why continuous monitoring of your dependencies matters as much as the initial scan.

Le scan d’images au moment du build détecte les vulnérabilités connues à la date du scan — mais de nouvelles CVE sont divulguées chaque jour. Une vulnérabilité qui n’existait pas lors de la construction de votre image peut apparaître demain. C’est pourquoi le monitoring continu de vos dépendances est aussi important que le scan initial.

Whether your app runs in a container or directly on a server, the lockfiles it ships with (package-lock.json, requirements.txt, composer.lock) represent your real dependency surface. CVE OptiBot monitors those lockfiles daily via the OSV.dev database and sends you an alert the moment a new vulnerability is disclosed for any of your dependencies — without ever accessing your source code.

Que votre application tourne dans un container ou directement sur un serveur, les lockfiles qu’elle embarque (package-lock.json, requirements.txt, composer.lock) représentent votre vraie surface de dépendances. CVE OptiBot surveille ces lockfiles quotidiennement via la base de données OSV.dev et vous envoie une alerte dès qu’une nouvelle vulnérabilité est divulguée pour l’une de vos dépendances — sans jamais accéder à votre code source.

Frequently Asked Questions

Questions fréquentes

Do I need AuthZ plugins for CVE-2026-34040 to affect me?

Ai-je besoin de plugins AuthZ pour être affecté par CVE-2026-34040 ?

Yes. CVE-2026-34040 specifically targets the authorization plugin layer. If you don’t use AuthZ plugins (OPA, Prisma Cloud, custom policies), this specific vulnerability does not apply. However, you should still upgrade Docker Engine to 29.3.1+ for protection against all other disclosed vulnerabilities, including past CVEs that may affect your version.

Oui. CVE-2026-34040 cible spécifiquement la couche de plugins d’autorisation. Si vous n’utilisez pas de plugins AuthZ (OPA, Prisma Cloud, politiques personnalisées), cette vulnérabilité spécifique ne s’applique pas. Cependant, vous devriez quand même mettre à jour Docker Engine vers 29.3.1+ pour vous protéger contre toutes les autres vulnérabilités divulguées, y compris les CVE passées susceptibles d’affecter votre version.

How do I check my Docker Engine version?

Comment vérifier ma version de Docker Engine ?

Run docker version and look for the Engine: Version: field in the Server section. If it shows anything below 29.3.1, upgrade immediately. On most Linux distributions: apt-get update && apt-get install docker-ce or yum update docker-ce depending on your package manager.

Exécutez docker version et cherchez le champ Engine: Version: dans la section Server. Si elle affiche quelque chose inférieur à 29.3.1, mettez à jour immédiatement. Sur la plupart des distributions Linux : apt-get update && apt-get install docker-ce ou yum update docker-ce selon votre gestionnaire de paquets.

Is Kubernetes affected by CVE-2026-34040?

Kubernetes est-il affecté par CVE-2026-34040 ?

CVE-2026-34040 affects the Docker Engine daemon directly. Kubernetes clusters using Docker as the container runtime (which is less common since containerd became the default) could be affected if they also use AuthZ plugins. Most modern K8s clusters use containerd or CRI-O and are not affected by this specific CVE — but Kubernetes has its own separate CVE history and should be monitored independently.

CVE-2026-34040 affecte directement le démon Docker Engine. Les clusters Kubernetes utilisant Docker comme runtime de container (moins courant depuis que containerd est devenu le défaut) pourraient être affectés s’ils utilisent également des plugins AuthZ. La plupart des clusters K8s modernes utilisent containerd ou CRI-O et ne sont pas affectés par ce CVE spécifique — mais Kubernetes a sa propre histoire de CVE et doit être surveillé indépendamment.

How do I keep my container images free of CVEs over time?

Comment garder mes images container sans CVE dans le temps ?

There is no once-and-done approach. The only reliable strategy is: (1) use minimal base images (Alpine, distroless, Docker Hardened Images), (2) rebuild images regularly — at least weekly — so upstream patches are incorporated, (3) integrate image scanning (Trivy, Grype, Docker Scout) in CI so new builds are checked, and (4) monitor your application’s own dependencies continuously for newly disclosed CVEs.

Il n’existe pas d’approche « une fois pour toutes ». La seule stratégie fiable est : (1) utiliser des base images minimales (Alpine, distroless, Docker Hardened Images), (2) reconstruire les images régulièrement — au moins hebdomadairement — pour intégrer les correctifs amont, (3) intégrer le scan d’images (Trivy, Grype, Docker Scout) dans la CI pour que les nouveaux builds soient vérifiés, et (4) surveiller en continu les dépendances de votre application pour les CVE nouvellement divulguées.

What is the “fail-closed” fix in Docker Engine 29.3.1?

Qu’est-ce que le correctif « fail-closed » de Docker Engine 29.3.1 ?

Before 29.3.1, when an API request body exceeded 1 MB, Docker’s middleware would silently drop the body and forward nothing to the AuthZ plugin (fail-open: approve by default when unsure). The 29.3.1 fix changes this to fail-closed: if the request body cannot be fully processed and forwarded to the plugin, the request is denied outright. This means the plugin’s policy is always enforced, even in edge cases.

Avant la version 29.3.1, lorsque le corps d’une requête API dépassait 1 Mo, le middleware Docker supprimait silencieusement le corps et ne transmettait rien au plugin AuthZ (fail-open : approuver par défaut en cas de doute). Le correctif 29.3.1 change cela en fail-closed : si le corps de la requête ne peut pas être entièrement traité et transmis au plugin, la requête est rejetée. Cela garantit que la politique du plugin est toujours appliquée, même dans les cas limites.

Should I disable AuthZ plugins if I can’t patch immediately?

Dois-je désactiver les plugins AuthZ si je ne peux pas patcher immédiatement ?

No — disabling AuthZ plugins removes all your policy enforcement and leaves you more exposed, not less. The recommended interim mitigation is to restrict who has access to the Docker API (firewall rules, network policies) and to monitor API calls for anomalies. Patch as quickly as possible — Docker Engine 29.3.1 is a standard upgrade, not a disruptive change.

Non — désactiver les plugins AuthZ supprime toute votre application de politiques et vous expose davantage, pas moins. La mesure de mitigation intérimaire recommandée est de restreindre qui a accès à l’API Docker (règles de pare-feu, politiques réseau) et de surveiller les appels API pour détecter des anomalies. Patcher aussi vite que possible — Docker Engine 29.3.1 est une mise à jour standard, pas un changement disruptif.

Monitor your containerized app’s dependencies automatically

Surveillez automatiquement les dépendances de votre app containerisée

CVE OptiBot scans your lockfiles daily against the OSV.dev database and alerts you the moment a new CVE affects any of your npm, Python, PHP, or Go dependencies — whether they run in containers or not. No agent, no code access.

CVE OptiBot scanne vos lockfiles quotidiennement contre la base de données OSV.dev et vous alerte dès qu’un nouveau CVE affecte l’une de vos dépendances npm, Python, PHP ou Go — qu’elles tournent dans des containers ou non. Pas d’agent, pas d’accès au code.

Start free monitoring Démarrer le monitoring gratuit

Related articles

Articles liés

GitHub Actions Supply Chain Security 2026 → Sécurité Supply Chain GitHub Actions 2026 → SBOM Guide for Developers in 2026 → Guide SBOM pour Développeurs en 2026 → CVE Monitoring → Monitoring CVE → All articles → Tous les articles →