Docker Bake est un outil qui simplifie et optimise la construction d'images Docker en offrant une approche déclarative et standardisée. Il s'appuie sur BuildKit et Buildx pour paralléliser les builds, gérer efficacement le cache et les dépendances, tout en évitant les scripts shell complexes et fragiles. Contrairement aux méthodes traditionnelles, souvent limitées par des dépendances aux systèmes d'exploitation et des séquences de builds séquentielles, Docker Bake sépare clairement la configuration des variables (dans des fichiers HCL ou YAML) et la définition des builds, facilitant ainsi la maintenance et l'évolutivité.

L'outil permet de définir des targets (cibles de build) avec leurs paramètres, plateformes et dépendances, tout en exploitant des fonctionnalités avancées comme le matrix build pour générer plusieurs variantes d'images en une seule commande. Par exemple, il est possible de construire simultanément des images pour différentes architectures (amd64, arm64) ou versions de langage, tout en optimisant le cache et les layers réutilisables. Cette approche réduit significativement le temps d'exécution et améliore la reproductibilité des builds.

Enfin, Docker Bake intègre des mécanismes de validation et de configuration centralisée, évitant les erreurs liées aux scripts shell et aux variables d'environnement mal gérées. Les fichiers de configuration (comme vars.hcl et docker-bake.hcl) permettent une gestion modulaire et collaborative, similaire à des outils comme Terraform. L'exécution des builds se fait via des commandes simples (docker buildx bake), avec des options de dry-run pour le débogage, rendant le processus plus robuste et adapté aux environnements DevOps modernes.

L’article recommande d’abandonner Kaniko et de ne pas se précipiter sur Docker BuildX pour la construction d’images de conteneurs en CI/CD, en proposant plutôt Buildah comme solution plus simple et plus robuste, car il permet de construire des images OCI sans dépendre d’un daemon Docker ni d’une configuration complexe souvent nécessaire avec Docker-in-Docker ou BuildX. L’auteur explique que Kaniko a été abandonné et que BuildX reste fortement lié à l’écosystème Docker et à son daemon, alors que Buildah, issu de l’écosystème Podman, fonctionne de manière plus légère et s’intègre facilement dans des pipelines CI pour construire et pousser des images, éventuellement même via une API sans Dockerfile.

L'article explore des fonctionnalités avancées de Docker souvent méconnues mais puissantes pour améliorer les workflows DevOps et renforcer la sécurité des déploiements.

1. SBOM et l’analyse avec Trivy : Générez des inventaires de composants logiciels (SBOM) et analysez-les avec Trivy pour détecter les vulnérabilités dans vos images Docker.

2. Multi-architecture avec Docker et Buildx : Créez des images Docker compatibles avec plusieurs architectures (AMD, ARM, etc.) en une seule commande grâce à Docker Buildx.

3. Signature des images Docker avec Sigstore : Signez et vérifiez vos images Docker avec Sigstore et Cosign pour garantir leur intégrité et provenance.

4. OCI Registry et ORAS : Utilisez ORAS pour pousser et récupérer des artefacts OCI sur des registries, au-delà des images Docker, pour une gestion standardisée et sécurisée des artefacts.

Ces fonctionnalités montrent l'évolution de Docker vers une plateforme plus sécurisée et flexible, adaptée aux besoins des environnements DevOps modernes.