- Eine Sammlung schlanker Container-Images, die entwickelt wurde, um Sicherheitslücken (CVEs) in Produktionsumgebungen zu minimieren
- Täglich neu gebaut auf Basis von Chainguards apko und Wolfi-Paketen, um die neuesten Sicherheitspatches zu übernehmen
- Entfernt unnötige Pakete, um die Angriffsfläche zu minimieren; die meisten Images enthalten nur 0 bis höchstens 5 CVEs
- Images für wichtige Laufzeitumgebungen und Dienste wie Python, Node.js, Bun, Go, Nginx, HTTPD, Jenkins, Redis, PostgreSQL und SQLite verfügbar
- Jedes Image läuft als Nicht-Root-Benutzer (non-root), und standardmäßig ist keine Shell enthalten
- Sicherheitsorientiertes Design
- Wenn das CVE-Gate nicht bestanden wird, schlägt der Build fehl
- cosign-basierte Signierung und automatische Erstellung von SBOMs (Software Bill of Materials)
- Alle Images können mit keyless-Signaturen von Sigstore verifiziert werden
- Struktur der Build-Pipeline
- Wolfi-Pakete → OCI-Image-Erstellung mit apko → CVE-Scan mit Trivy → Signierung und Veröffentlichung mit cosign+SBOM
- Jenkins, Redis usw. werden nach dem Source-Build über melange integriert
- Automatische Updates und Wartungsmodell
- Automatischer täglicher Build um 2:00 UTC zur Übernahme der neuesten CVE-Patches
- Konfigurationsänderungen werden bei Merges in den main-Branch automatisch ausgerollt
- Unterstützt manuell ausgelöste Notfall-Rebuilds
- Vorteile für Sicherheit und Compliance
- Erleichtert Sicherheitsaudits und regulatorische Compliance wie SOC2, FedRAMP und PCI-DSS
- Gegenüber Debian/Ubuntu mehr als 10-fach schnellere Übernahme von Patches (innerhalb von 48 Stunden)
- Signaturprüfung und Bereitstellung von SBOMs stärken die Sicherheit der Supply Chain
- Veröffentlicht unter der MIT-Lizenz
- Für in den einzelnen Images enthaltene Drittanbieter-Pakete sind jeweilige Lizenzen wie Apache-2.0, MIT, GPL und BSD angegeben
- Über das SBOM lassen sich die Lizenzinformationen aller Pakete prüfen
Noch keine Kommentare.