Ankündigung von Chainguard VMs: Minimal, Zero-CVE Container Host Images
Der Zugang ist jetzt über das Early-Access-Programm verfügbar.
Wir freuen uns, Ihnen mitteilen zu können, dass Chainguard VMs, ein Katalog von überwachten, minimalen, Null-CVE-Container-Host-Images, jetzt den Early Access (EA) erreicht hat. Chainguard VMs wurde speziell für moderne, ephemere Workloads in der Cloud entwickelt und bietet einen starken Kontrast zu den älteren, universellen VMs und Betriebssystemen, die heute den Container-Host-Markt dominieren. Während der EA nimmt Chainguard interessierte Designpartner auf, die mit unseren Engineering-, Produkt- und Designteams an Chainguard VMs zusammenarbeiten möchten.
Chainguard-VMs wurden vollständig aus der Quelle in einer SLSA-zertifizierten Build-Infrastruktur erstellt und enthalten nur die Komponenten, die für den Betrieb als Container-Host erforderlich sind, sowie einen Kernel, der für den zugrunde liegenden Cloud-Anbieter optimiert ist. Unser Ansatz verkleinert die Angriffsfläche der virtuellen Maschine und macht sie effizienter und sicherer, ohne die Leistung zu beeinträchtigen. Wie Container und Bibliotheken wird Chainguard VMs durch das Chainguard-Betriebssystem und die Software Factory untermauert, die uns die volle Kontrolle über die Software-Lieferkette geben. Das bedeutet, dass Chainguard VM-Images als Reaktion auf neue Sicherheitsfixes kontinuierlich neu erstellen und ein erstklassiges SLA zur Behebung gängiger Schwachstellen und Exposures (CVEs) bereitstellen kann. Chainguard VMs werden Unternehmen dabei helfen, kostspielige Engineering-Aufwände im Zusammenhang mit der Golden-Image-Wartung für Container-Hosts zu reduzieren und eine sichere, standardisierte Grundlage für Open-Source-Komponenten innerhalb des Unternehmens zu schaffen. Unten finden Sie eine Produktdemo.
In diesem Blogbeitrag werden wir uns mit den Motivationen für den Aufbau von Chainguard VMs und dem Wert, den wir unseren Kunden bieten, befassen.
Status Quo-Herausforderungen mit Allzweck-VMs und Container-Hosts
Kunden sind wiederholt auf der Suche nach einer besseren Lösung für ihre Container-Hosts zu uns gekommen, bei denen es sich heute in erster Linie um virtuelle Allzweck-Maschinen handelt, die auf etablierten Enterprise-Linux-Distributionen basieren. Bei der Kombination von Tausenden von Paketen, die für die Ausführung von Container-Hosts und containerisierten Workloads unnötig sind, müssen die Legacy-Distributionen eine komplexe Reihe von Abhängigkeiten zwischen Komponenten aufrechterhalten und ihre Distributionen in einem bestimmten Versionsstrom "einfrieren". Um Schwachstellen zu beheben, müssen die etablierten Betriebssystemanbieter häufig Codeänderungen von Upstream-Betreuern zurückportieren, anstatt die neueste Version zu verwenden, die den Fix enthält. Mit Tausenden von Paketen zur Wartung und Unterstützung von Lebenszyklen von mehr als 5 Jahren ist der manuelle Entwicklungsaufwand für die Validierung, den Backport, den Test und die Verteilung von Korrekturen für CVEs bereits enorm, wachsend und teuer. Und da sich eine Distribution dem Ende ihrer Lebensdauer nähert, verlieren viele Pakete die Unterstützung der Betreuer. Das bedeutet, dass ältere OS-Anbieter die Last der Produktion von CVE-Fixes von Grund auf übernehmen müssen. In vielen Fällen (d. h. bei CVEs mit geringerem Schweregrad) entscheiden sich OS-Anbieter dafür, diese Sysiphean-Aufgabe vollständig aufzugeben. Infolgedessen führen Unternehmenskunden am Ende ein Betriebssystem mit einer riesigen Menge an CVEs aus, die niemals behoben werden.
Um die neuesten Upstream-Versionen zu konsumieren und diese CVEs zu eliminieren, müssen Unternehmen ein großes "Big Bang" -Upgrade auf eine neue Version der Distribution durchführen. Wenn Big Bang-Migrationen erforderlich sind, um Zugriff auf neue Softwareversionen zu erhalten, verpassen Unternehmensbenutzer Fehlerbehebungen, Leistungsoptimierungen, Stabilitätsverbesserungen und vor allem umfassende Sicherheitsupdates.
Der Status-Quo-Ansatz, sich auf Allzweck-VMs und traditionelle Linux-Distributionen für Unternehmen zu verlassen, um den Anwendungsfall des Container-Hosts zu unterstützen, hat einige bedeutende Kundenprobleme geschaffen:
Entwicklerarbeit: Herkömmliche Container-Hosts sind voller Schwachstellen, weil sie keine häufigen Updates erhalten. Das Triagieren, Verwalten und Beheben dieser CVEs führt zu erheblicher Entwicklungsarbeit. Die etablierten Allzweck-VM-Anbieter ignorieren einige CVEs vollständig (d. h., sie werden "nicht repariert"), was zu Komplexität für Benutzer führt, die Compliance- oder Kunden-SLAs erfüllen müssen.
Datierte Software: Veraltete Software, die nicht mit Upstream-Versionen übereinstimmt, führt dazu, dass Benutzer Funktions- und Leistungsupdates verpassen. Dies hindert Benutzer daran, beim Erstellen und Bereitstellen von Anwendungen auf die neuesten Hardware- und Softwarefunktionen zu optimieren. Für Unternehmenskunden wird es immer schwieriger, moderne Container-Orchestrierungs-Engines auf Legacy-Betriebssystemen auszuführen.
Big Bang-Migrationen: Enterprise-Linux-Distributionen erfordern größere Versions-Upgrades, wenn sie das Ende der Lebensdauer erreichen. Engineering-Organisationen stehen dann vor enormen technischen und betrieblichen Herausforderungen, die mit Big Bang OS-Upgrades einhergehen. Das Upgrade von Tausenden von Servern bei gleichzeitiger Überbrückung von Inkompatibilitäten zwischen Softwareversionen ist teuer, ressourcenintensiv und schmerzhaft.
Begrenzte Auswahl: Unternehmen verdienen Flexibilität bei der Auswahl von Lösungen, die ihren Bedürfnissen am besten entsprechen. Heutzutage sind Unternehmen, die Cloud-native containerisierte Anwendungen bereitstellen, in ihrer Auswahl an Betriebssystem- und Container-Host-VMs auf eine Reihe von Legacy-Anbietern beschränkt, die ihre Anforderungen nicht erfüllen, oder auf CSP-native Lösungen, die nicht von verschiedenen Cloud-Service-Providern verwendet werden können.
Chainguards Lösung: Chainguard VMs
Um diese Herausforderungen zu meistern, haben wir Chainguard VMs entwickelt, einen Katalog von bewachten Container-Host-Images, der analog zu unseren Container-Images ist. Chainguard VMs sind speziell entwickelte virtuelle Maschinen, die die Kernel- und Container-Laufzeit zur Ausführung eines Containers bereitstellen.
Es gibt ein paar wichtige Wertpfeiler, die wir mit Chainguard VMs liefern werden:
Reduzieren Sie kostspielige Engineering-Toil: Chainguard-Container-Hosts sind speziell entwickelt, minimal und haben keine CVEs. Chainguard VMs reduziert die Belastung der Engineering-Teams für CVE-Triage, -Management und -Sanierung, indem es ein erstklassiges CVE-Sanierungs-SLA für Container-Hosts bereitstellt und wertvolle technische Ressourcen freisetzt, um sich auf höherwertige Geschäftsprioritäten zu konzentrieren.
Kontinuierliche Compliance: Kritische Compliance-Frameworks wie FedRAMP, PCI DSS und HIPAA erfordern, dass Unternehmen CVEs in ihren VMs, einschließlich Container-Hosts, eliminieren. Chainguard beschleunigt die Audit-Zeitpläne und vereinfacht die kontinuierliche Einhaltung von gehärteten, Null-CVE-Container-Hosts.
Sichere Grundlage für Open Source: Durch die Standardisierung von Container-Host-Bereitstellungen auf Chainguard-VMs reduzieren Kunden ihre Angriffsfläche und stellen die End-to-End-Integrität aller ihrer Softwarekomponenten sicher. Das bedeutet mehr Klarheit darüber, was OSS im Unternehmen eingesetzt wird und wie es aufgebaut ist.
Schneller Zugriff auf OSS-Innovation: Durch die Neuerstellung jeder VM-Komponente von der Quelle aus liefert Chainguard kontinuierliche Updates an Kunden, die von den neuesten Funktionen, Leistungsoptimierungen und Sicherheitsupdates von Software-Betreuern profitieren. Chainguard eliminiert die Notwendigkeit von Big Bang-Software-Migrationen mit einem besseren Mechanismus für die Bereitstellung von Open-Source-Software.
Moderner Multi-Cloud-Standard: Chainguard-VMs werden von allen drei großen Cloud-Anbietern als selbstverwaltete Container-Hosts in Compute (d. h. EC2) unterstützt. Chainguard hat auch unsere Container-Host-Images für Amazons verwaltetes Kubernetes-Angebot, Elastic Kubernetes Service (EKS), optimiert, um Ein-Klick-Bereitstellungen zu ermöglichen.
Erste Schritte mit Chainguard VMs
Wir freuen uns, unser Early-Access-Programm für Chainguard VMs zu starten und begrüßen frühe Designpartner, die Chainguard bei der Weiterentwicklung des Produkts unterstützen und unsere Roadmap leiten. Ihre Teilnahme wird eine Schlüsselrolle bei der Gestaltung der Zukunftspläne von Chainguard spielen und Sie an die Spitze der Entwicklung sicherer Plattformen für die Anwendungsbereitstellung bringen.
Wenn Sie mehr über Chainguard VMs erfahren möchten oder wissen möchten, wie minimale Container-Hosts ohne CVE Ihre Software-Lieferkette verändern können, wenden Sie sich noch heute an uns. Bestehende Chainguard-Kunden können mit den Container-Host-Bildern von Chainguard beginnen, indem sie sich mit Ihren Account-Teams über Slack oder E-Mail abstimmen.
Share this article
Related articles
- product
Forrester TEI study: Chainguard Containers delivered 233% return on investment
Dustin Kirkland, SVP of Engineering
- product
Expanding Chainguard’s Helm chart coverage and deepening user experiences
Sam Katzen, Staff Product Marketing Manager, and Tazin Progga, Senior Product Manager
- product
Introducing Fulfillment Dashboard: New artifact requests are now self-serve
Sam Katzen, Staff Product Marketing Manager, and Reid Tatoris, VP of Product
- product
Super SBOMs: See exactly what's inside
Tony Camp, Staff Product Manager
- product
Security baked into your software supply chain: The combined benefit of JFrog and Chainguard
Mandy Hubbard, Senior Technical Product Marketing Manager, and Dafna Zahger Bernanka, JFrog Director of Product Marketing, Security
- product
Introducing automatic, short-lived credentials for Chainguard Libraries for Python
Jason Hall, Principal Software Engineer, and Ross Gordon, Staff Product Marketing Manager