Когда Google тихо заархивировал проект Kaniko в начале этого месяца, он оставил разрыв в экосистеме контейнера.
Kaniko, инструмент, который позволяет создавать изображения Docker в кластерах Kubernetes без привилегированных контейнеров, стал фундаментальной инфраструктурой для организаций по финансовым услугам, обороне и другим регулируемым отраслям.
Признавая необходимость в этом инструменте, Chainguard немедленно вступил в порядок проекта, обеспечив непрерывность для тысяч организаций, которые ежедневно зависят от него, заявил The New Stack Дэн Лорененс, соучредитель и генеральный директор Chainguard.
Проблема Канико решила
Семь лет назад не было никакого способа построить изображения Docker в кластере Kubernetes, сказал Лоренс. Это создало проблему для организаций, стремящихся внедрить безопасные трубопроводы CI/CD без запуска привилегированных контейнеров — риск безопасности, который многие предприятия не могли принять.
«В то время не было никакого способа построить изображения Docker в кластере Kubernetes, поэтому мы решили попытаться исправить это с самым уродливым, самым злобным:« Это никогда не будет работать в блоге. Первоначально Wadhwa создал Kaniko во время работы в команде Google Container Tools, а теперь является старшим инженерным менеджером в Chainguard.
Однако взлом работал. По словам Лоренк, это не только решала фундаментальную проблему, но и команда обнаружила способы сделать Канико быстрее, чем традиционный докер, строите во многих сценариях.
От бокового проекта до критической инфраструктуры
То, что началось как небольшой побочный проект, стало тем, что Лоренч описывает как «несущую» инфраструктуру. Проект получил широкое распространение в промышленности со строгими требованиями безопасности и соответствия.
«Я был несколько шокирован информацией после объявления», — сказал Лоренс. «Сколько мест эта штука работала за эти годы-критическая инфраструктура, регулируемая отрасли, воздушные условия в обороне и военных. Многочисленные правительства обратились к нам, потому что они использовали эту вещь».
Важность инструмента стала очевидной, когда Chainguard объявил о своей вилке, сказал он. Реакция сообщества в социальных сетях показала, сколько организаций тихо интегрировало Канико в свои важные рабочие процессы.
Lorenc’s LinkedIn Post о вилке сгенерировал около 570 реакций.
Одна из таких реакций от Zamir Kuqo, лидерства облаков и Devsecops в Atlantic Naval Information Warfare (NIWC), гласит: «Kaniko изменил правила игры для создания контейнеров в Kubernetes, не требуя привилегий Docker. Грустно, что Google завершает поддержку, но огромный Кудос, чтобы поступить на шаг, выступая в докере.
Проблема с устойчивым развитием с открытым исходным кодом
Ситуация Каника подчеркивает более широкую проблему в устойчивости с открытым исходным кодом. Проект представляет то, что Lorenc называет «основополагающим слоем» открытого исходного кода — зрелые, стабильные инструменты, которые не нуждаются в постоянной разработке функций, но требуют постоянного технического обслуживания.
«Многие проекты с открытым исходным кодом достигают этой точки, когда они в основном сделаны», — сказал Лоренс. «Там не так много работы.
Эти основополагающие проекты часто проходят через трещины, потому что они не вызывают волнения, необходимого для традиционных моделей финансирования. В отличие от более новых проектов с активными дорожными картами развития и растущими сообществами, зрелые инструменты, такие как Канико, нуждаются в том, что кто -то, кто «просто сидит там, объединяет PRS -пикалы зависимостей, фиксирует любые появления CVE, и кормит и поливает их», — сказал он.
Ставки оставления стали ясными с инцидентами, такими как XZ Utils Backdoor, где заброшенный проект был передан вредоносным актерам. «Вы не можете просто полностью отказаться от них», — предупреждает Лоренк.
Подход Чангуарда
Это не первый раз, когда Chainguard принял заброшенный проект с открытым исходным кодом. По словам Лоренк, компания выделила проекты «полдюжины раз», когда обнаружились уязвимости, но не остаются сопровождающими для слияния исправлений.
«Иногда общественная вилка появляется где -то еще, после того, как люди узнают, что вещь была заброшена, а затем мы слияем нашу обратно туда», — сказал он. «В других случаях мы просто продолжаем в долгосрочной перспективе, если никто не появится».
Для Канико Чаунгуард использует измеренный подход. Они не планируют крупные новые функции — большинство пользователей предпочитают стабильность по сравнению с изменениями основополагающих инструментов, сказал Лоренс. Вместо этого компания сосредотачивается на техническом обслуживании — обновлении зависимостей, устранении уязвимостей безопасности и объединении критических исправлений ошибок.
Вилка остается полностью с открытым исходным кодом и вверх по течению, а не эксклюзивным проектом. Для существующих пользователей переход прост: обмениваться URL -адресом репозитория и продолжить, как и раньше.
Стратегическое выравнивание
Вилка Каника выравнивается с более широкой миссией Чаунгара как «безопасного источника для открытого исходного кода». Компания создала свой бизнес, предоставляя безопасные, поддерживаемые версии программного обеспечения с открытым исходным кодом через свой продукт Chainguard Images.
«Вместо какого -либо инструмента, сканера или чего -то еще, чтобы рассказать вам обо всех проблемах в вашей цепочке поставок, мы просто продаем фиксированную, надежную цепочку поставок», — сказал Лорененк.
Канико хорошо подходит для этого видения. Инструмент воплощает принципы Chainguard Champions-«Эфемерная, песочница, минимальная и защищенная инфраструктура»,-сказал Лоренк. Это помогло проложить путь для современных методов безопасности контейнеров, которые обрабатывают такие системы сборки, как производственные системы, сказал он.
С нетерпением жду
В то время как Google перешел к другим приоритетам, Chainguard видит долгосрочную ценность в поддержании этих основополагающих инструментов.
«Мы поддерживаем каталоги. Мы исправляем CVE. Мы разбираемся в критических инструментах, когда никто не будет. Нам заботится, когда ваша сборка разрывается»,-написали Вадхва, Лоренк и Ким Левандовски, соучредитель и CPO Chainguard. «Это разница».
Большая картина
История Каника отражает развивающуюся природу устойчивости с открытым исходным кодом. По словам Лоренк, некоторыми из наиболее важных программ с открытым исходным кодом может быть стабильные, «скучные» инструменты, которые просто нуждаются в том, чтобы держать свет.
Trending Stories youtube.com/thenewstack Tech движется быстро, не пропустите эпизод. Подпишитесь на наш канал YouTube, чтобы транслировать все наши подкасты, интервью, демонстрации и многое другое. Группа подпишитесь с эскизом. Дэррил К. Тафт охватывает DevOps, инструменты разработки программного обеспечения и проблемы, связанные с разработчиком из своего офиса в районе Балтимора. Он имеет более чем 25 -летний опыт работы в бизнесе и всегда ищет следующий совок. Он работал … читайте больше от Дэррила К. Тафта
