Сегодня компания Chainguard анонсировала Chainguard EmeriOSS, свою новую модель поддержки зрелых проектов с открытым исходным кодом и долгосрочной устойчивости программного обеспечения с открытым исходным кодом (OSS) для сообщества.
«Мы создаем стабильный и предсказуемый дом для проектов, достигших этой стадии», — написали в своем блоге Эрин Гласс, менеджер по продукту, Дэн Лоренц, генеральный директор и соучредитель, и Ким Левандовски, директор по безопасности и соучредитель.
Зрелые проекты OSS часто остаются встроенными в производственные системы после того, как сопровождающие уходят. В интервью The New Stack Лоренц упомянул прошлогодний инцидент с xz-utils — когда бэкдор был почти введен после того, как 20-летний специалист по сопровождению хотел уйти в отставку — иллюстрирует риски, когда нет безопасного пути перехода.
«Прошлогодний инцидент с xz-utils продемонстрировал, насколько серьезными могут быть последствия, когда у сопровождающих нет четкой возможности безопасно уйти», — говорится в сообщении Chainguard. «Когда первоначальный сопровождающий захотел уйти в отставку после 20 лет участия в проекте, новый участник постепенно завоевал доверие, а затем чуть не представил сложный бэкдор, который мог бы поставить под угрозу бесчисленное количество систем в отрасли».
Действительно, многие проекты с открытым исходным кодом попадают в серую зону между активным развитием и полным отказом, сказал Чейнгард. «Они стабильны и широко используются, но по-прежнему требуют минимального обслуживания для исправлений безопасности, обновлений зависимостей и обновлений компилятора. Когда сопровождающие уйдут, эти проекты могут стать угрозой безопасности».
Звуки
«В июне 2025 года, когда Google объявил, что архивирует проект Kaniko, некоторые из наших клиентов обратились к нам, чтобы рассказать, насколько разрушительными были эти изменения для их рабочих процессов», — сказал Чейнгард. «Мы вмешались, предоставив поддержку только для обслуживания нашей вилки Kaniko, чтобы помочь им безопасно использовать Kaniko или перейти от него».
Канико является частью программы EmeritOSS.
Я рассказал об этой новости и написал: «Kaniko, инструмент, который позволяет создавать образы Docker внутри кластеров Kubernetes без привилегированных контейнеров, стал базовой инфраструктурой для организаций финансовых услуг, обороны и других регулируемых отраслей».
Сегодня Chainguard сказал: «С Kaniko мы уже внедрили CVE. [common vulnerabilities and exposures] исправления, обновления зависимостей и поддерживаемые образы, чтобы обеспечить безопасную работу клиентских рабочих нагрузок во время периода миграции».
Кроме того, сегодня Chainguard добавила в программу EmeritOSS еще двух новых участников: Kubeapps и ingress-nginx, два инструмента, разработчики которых достигли естественных переходов жизненного цикла. В рамках программы Chainguard позволяет этим проектам оставаться безопасными и работоспособными для команд, которые от них зависят.
«Возможность получить поддерживаемый ingress-nginx позволяет нам тратить больше времени на оценку плана по переводу команд на другой API-интерфейс входящего контроллера или шлюза», — сказал Луис Гисаров, менеджер DevOps в Rogers Communications, в своем заявлении. «Решение Chainguard взять на себя обслуживание ingress-nginx дает нам уверенность в том, что мы сможем продолжать работать безопасно. Приятно видеть, что организация вмешивается в поддержку критически важного OSS таким образом, что уважает сопровождающих и одновременно защищает пользователей».
«Наши раздвоенные версии, ориентированные на стабильность, останутся в свободном доступе на GitHub только в исходной форме», — сказал Чейнгард. «Организации, которые предпочитают безопасный, постоянно поддерживаемый образ контейнера или APK, могут выбрать наше коммерческое распространение».
Цепочка EmeritOSS Team
По словам Лоренца, Chainguard изначально сформировала команду из двух-трех человек для работы над программой MeritOSS.
«Сейчас мы экспериментируем, просто чтобы увидеть, насколько масштабно мы можем это масштабировать. Потому что работа идет скачками. В некоторые месяцы, некоторые кварталы, в некоторые годы работы для любого конкретного проекта может быть нулевой. В других случаях работа будет перегружена», — сказал он The New Stack. «Итак, мы как бы хотим расширить границы, чтобы увидеть, для скольких из этих проектов небольшая команда действительно может это сделать, а затем выяснить, как это будет выглядеть, когда мы начнем масштабировать его».
Хотя команда начинает с малого, тестируя модель перед масштабированием, она использует существующую инфраструктуру автоматизации Chainguard для исправления уязвимостей и использует инструменты искусственного интеллекта для масштабирования поддержки потенциально на сотни или тысячи проектов, сказал Лоренц.
Заполнение пробела
Без структурированной модели перехода организации, зависящие от этих зрелых проектов, остаются уязвимыми. EmeritOSS помогает восполнить этот пробел. По словам Лоренца, он обеспечивает безопасную, ориентированную на стабильность и безопасную посадку для важных проектов с открытым исходным кодом, которые не нуждаются в новых функциях, но требуют постоянного ухода.
Согласно сообщению в блоге, Chainguard предлагает различные уровни поддержки в зависимости от ожиданий сообщества и жизненного цикла проекта, в том числе:
- «Создание публичного форка проекта для сохранения постоянного доступа к кодовой базе. Это не враждебные форки — наша цель — преемственность, а не конкуренция.
- «Обновление зависимостей для устранения уязвимостей и создание новых выпусков с обновлениями.
- «Публикация четкой документации с описанием объема поддержки и уровней обслуживания.
- «Создание проектов EmeritOSS из исходного кода и добавление их в наш каталог образов, когда это необходимо, а также обновленные пакеты APK, где это применимо».
Chainguard не будет поддерживать разработку новых функций или активно участвовать в решении проблем сообщества или запросов на включение, поскольку эти проекты являются зрелыми и не требуют этого. «Наша задача — обеспечить их безопасность в этом состоянии», — сказал Лоренц.
Однако «наши разветвленные версии, ориентированные на стабильность, останутся в свободном доступе на GitHub только в исходной форме. Организации, которые предпочитают безопасный, постоянно поддерживаемый образ контейнера или APK, могут выбрать наше коммерческое распространение», — говорится в сообщении Chainguard.
«Это не враждебные развилки — наша цель — преемственность, а не конкуренция», — сказал Лоренц.
Тем временем Лоренц резюмировал цель программы EmeritOSS: «Есть два типа проектов: одни, в которых вам важно, какой номер версии вы используете, и те, в которых вы не знаете, какой номер версии вы используете. И это для последнего».
Chainguard представляет это как часть своей более широкой приверженности OSS, ссылаясь на свою работу по вызову в Sigstore и вклады в фонд GitHub Secure Open Source Fund.
«Я думаю, что со временем какой-нибудь фонд, вероятно, должен попытаться это понять, но мы хотим доказать, что это работает, прежде чем делать что-то подобное», — сказал Лоренц. «Знаете, мы общаемся с такими людьми, как Linux Foundation и другими группами, чтобы понять, имеет ли это смысл в долгосрочной перспективе».
ТЕНДЕНЦИОННЫЕ ИСТОРИИ YOUTUBE.COM/THENEWSTACK Технологии развиваются быстро, не пропустите ни одной серии. Подпишитесь на наш канал YouTube, чтобы смотреть все наши подкасты, интервью, демонстрации и многое другое. ПОДПИСАТЬСЯ Группа, созданная в Sketch. Дэррил К. Тафт освещает DevOps, инструменты разработки программного обеспечения и вопросы, связанные с разработчиками, в своем офисе в Балтиморе. Он имеет более чем 25-летний опыт работы в бизнесе и всегда ищет новые новости. Он работал… Узнайте больше от Дэррила К. Тафта.
