Minimal – Sammlung von Container-Images mit minimierten CVE-Schwachstellen

xguru · 2026-02-03T09:31:02+09:00

Eine Sammlung schlanker Container-Images, die entwickelt wurde, um Sicherheitslücken (CVEs) in Produktionsumgebungen zu minimieren Täglich neu gebaut auf Basis von Chainguards apko und Wolfi-Paketen, um die neuesten Sicherheitspatches zu übernehmen Entfernt unnötige Pakete, um die Angriffsfläche zu minimieren; die meisten Images enthalten nur 0 bis höchstens 5 CVEs Images für wichtige Laufzeitumgebungen und Dienste wie Python, Node.js, Bun, Go, Nginx, HTTPD, Jenkins, Redis, PostgreSQL und SQLite verfügbar Jedes Image läuft als Nicht-Root-Benutzer (non-root), und standardmäßig ist keine Shell enthalten Sicherheitsorientiertes Design Wenn das CVE-Gate nicht bestanden wird, schlägt der Build fehl cosign-basierte Signierung und automatische Erstellung von SBOMs (Software Bill of Materials) Alle Images können mit keyless-Signaturen von Sigstore verifiziert werden Struktur der Build-Pipeline Wolfi-Pakete → OCI-Image-Erstellung mit apko → CVE-Scan mit Trivy → Signierung und Veröffentlichung mit cosign+SBOM Jenkins, Redis usw. werden nach dem Source-Build über melange integriert Automatische Updates und Wartungsmodell Automatischer täglicher Build um 2:00 UTC zur Übernahme der neuesten CVE-Patches Konfigurationsänderungen werden bei Merges in den main-Branch automatisch ausgerollt Unterstützt manuell ausgelöste Notfall-Rebuilds Vorteile für Sicherheit und Compliance Erleichtert Sicherheitsaudits und regulatorische Compliance wie SOC2, FedRAMP und PCI-DSS Gegenüber Debian/Ubuntu mehr als 10-fach schnellere Übernahme von Patches (innerhalb von 48 Stunden) Signaturprüfung und Bereitstellung von SBOMs stärken die Sicherheit der Supply Chain Veröffentlicht unter der MIT-Lizenz Für in den einzelnen Images enthaltene Drittanbieter-Pakete sind jeweilige Lizenzen wie Apache-2.0, MIT, GPL und BSD angegeben Über das SBOM lassen sich die Lizenzinformationen aller Pakete prüfen

(github.com/rtvkiz)

10 Punkte von xguru 2026-02-03 | 2 Kommentare | Auf WhatsApp teilen

Eine Sammlung schlanker Container-Images, die entwickelt wurde, um Sicherheitslücken (CVEs) in Produktionsumgebungen zu minimieren
Täglich neu gebaut auf Basis von Chainguards apko und Wolfi-Paketen, um die neuesten Sicherheitspatches zu übernehmen
Entfernt unnötige Pakete, um die Angriffsfläche zu minimieren; die meisten Images enthalten nur 0 bis höchstens 5 CVEs
Images für wichtige Laufzeitumgebungen und Dienste wie Python, Node.js, Bun, Go, Nginx, HTTPD, Jenkins, Redis, PostgreSQL und SQLite verfügbar
- Jedes Image läuft als Nicht-Root-Benutzer (non-root), und standardmäßig ist keine Shell enthalten
Sicherheitsorientiertes Design
- Wenn das CVE-Gate nicht bestanden wird, schlägt der Build fehl
- cosign-basierte Signierung und automatische Erstellung von SBOMs (Software Bill of Materials)
- Alle Images können mit keyless-Signaturen von Sigstore verifiziert werden
Struktur der Build-Pipeline
- Wolfi-Pakete → OCI-Image-Erstellung mit apko → CVE-Scan mit Trivy → Signierung und Veröffentlichung mit cosign+SBOM
- Jenkins, Redis usw. werden nach dem Source-Build über melange integriert
Automatische Updates und Wartungsmodell
- Automatischer täglicher Build um 2:00 UTC zur Übernahme der neuesten CVE-Patches
- Konfigurationsänderungen werden bei Merges in den main-Branch automatisch ausgerollt
- Unterstützt manuell ausgelöste Notfall-Rebuilds
Vorteile für Sicherheit und Compliance
- Erleichtert Sicherheitsaudits und regulatorische Compliance wie SOC2, FedRAMP und PCI-DSS
- Gegenüber Debian/Ubuntu mehr als 10-fach schnellere Übernahme von Patches (innerhalb von 48 Stunden)
- Signaturprüfung und Bereitstellung von SBOMs stärken die Sicherheit der Supply Chain
Veröffentlicht unter der MIT-Lizenz
- Für in den einzelnen Images enthaltene Drittanbieter-Pakete sind jeweilige Lizenzen wie Apache-2.0, MIT, GPL und BSD angegeben
- Über das SBOM lassen sich die Lizenzinformationen aller Pakete prüfen

2 Kommentare

click 2026-02-03

Heutzutage gibt es auch viele Angriffe auf die Bibliotheks-Lieferkette, daher wirkt es manchmal so, als wäre es nicht unbedingt sicherer, jeden Tag auf die neueste Version zu aktualisieren.

t7vonn 2026-02-03

Ich verstehe nicht ganz, worin sich das von https://github.com/GoogleContainerTools/distroless hier unterscheidet.

Minimal – Sammlung von Container-Images mit minimierten CVE-Schwachstellen

Verwandte Beiträge

2 Kommentare