Billet de blog technique signé par William Beasley (mis à jour le 2 décembre 2025), présentant deux outils de Raspberry Pi — rpi-image-gen et rpi-sb-provisioner — visant à passer du prototype à un système de production reproductible et sécurisé.
• rpi-image-gen: l’outil assemble des images Linux Debian via mmdebstrap en combinant des profils descriptifs, des « image layouts » et des fichiers de configuration YAML. Il privilégie les binaires précompilés pour accélérer les builds (quelques minutes) et simplifier la maintenance, tout en permettant des paquets sur mesure (ex. noyau custom en amont). Une fois le système de fichiers finalisé, Syft génère une SBOM pour l’audit de sécurité et l’alimentation d’outils externes de scan CVE. Les couches définissent paquets/commandes et variables (avec validation regex) afin d’éviter les mauvaises configurations.
• Exemple « kiosk »: en s’appuyant sur un exemple fourni, l’auteur montre la création d’une image pour Raspberry Pi 4 avec cage et chromium, un service systemd dédié et des variables d’environnement (URL, utilisateur, etc.). Le build produit une image disque (boot + root) et des artefacts (image.json, manifest, SBOM). L’approche démontre la paramétrisation (ex. IGconf_device_layer=rpi4) et la réutilisation de configurations (inclure/étendre bookworm-minbase).
• rpi-sb-provisioner: destiné à la production (recommandé sur Pi 5), il automatise la préparation matérielle/logicielle des appareils, avec trois niveaux de sécurité: 1) naked (OS seul), 2) fde-only (chiffrement du stockage et clés uniques par appareil), 3) secure-boot (Secure Boot + chiffrement + clés uniques). L’outil gère les fuses, le chiffrement, l’installation de l’OS, maintient une base de données de fabrication (statuts matériels, clés, journaux d’audit) et expose une API REST. Une UI Web (port 3142) facilite la configuration/monitoring.
• Démonstration de flux: import de l’image « penguin-kiosk.img » comme Gold-Master, choix du style de provisionnement (ici naked pour test), connexion du Pi 4B selon le guide officiel (ex. GPIO 8 comme RPI-BOOT), suivi de la progression et démarrage de l’appareil provisionné affichant le site configuré.
Type d’article: présentation technique de nouveaux outils et guide de prise en main visant la reproductibilité, la sécurité (SBOM, chiffrement, Secure Boot) et l’industrialisation du déploiement.
🔗 Source originale : https://www.thegoodpenguin.co.uk/blog/bridging-the-gap-a-look-at-rpi-image-gen-rpi-sb-provisioner/