В последние годы Chainguard произвела свое название благодаря растущей коллекции изображений Chainguard, изображений с открытым исходным кодом, которые не имеют критических уязвимостей, которые могут проникать в приложения и начинать атаки цепочки поставок программного обеспечения.
Обычные уязвимости и рисунки (CVE) (CVE) Изображения контейнеров были успешными для стартапа Киркленда, базирующегося в Вашингтоне, который будет отмечать свой четвертый день рождения в конце этого года. Chainguard привлекла более 250 миллионов долларов за свою короткую жизнь, и в прошлом году был быстрый, пятикратный рост числа клиентов. В феврале поставщик представил визуализацию CVE, способ для организаций оценить и количественно оценить преимущества, которые они получают, используя эти изображения.
В Today Today, инаугурационном мероприятии Chainguard в Сан-Франциско, руководители компании представляют следующие шаги, которые они предпринимают, чтобы сделать мир разработчиков более безопасным и без уязвимости. Они представляют библиотеки Chainguard, коллекцию языковых библиотек-с первоначальным акцентом на Java-которые построены на источнике и без вредоносных программ на уровнях цепочки поставок для инфраструктуры 2 уровня 2-го уровня.
Кроме того, поставщик разворачивает новую линейку продуктов, ориентированную на виртуальные машины (VMS). С помощью виртуальных машин Chainguard инженеры -программисты теперь имеют изображения хоста контейнеров, которые также не имеют уязвимостей и добавляют еще один уровень защиты для критических компонентов разработки.
Примечание на стек
Объявления библиотек Chainguard и VMS Chainguard дают представление о дорожной карте, которую компания следит, поскольку она стремится расширить свой охват за пределы изображений контейнеров и в другие части жизненного цикла разработки программного обеспечения с открытым исходным кодом.
«Сегодня организации используют наше изображение контейнера, а затем их разработчики идут и запускают свои приложения на нашем изображении контейнера», — заявил The New Stack Эд Соума, вице -президент по маркетингу продуктов в Chainguard. «Эти разработчики получают дополнительные библиотеки с открытым исходным кодом из общественных репозиториев, таких как Maven Central для Java, и в этих репозиториях есть тысячи и тысячи библиотек, которые они притягивают».
Опасение заключается в том, что эти библиотеки часто встроены в относительно небезопасные среды, такие как ноутбук разработчика, а затем загружаются в центральные или другие репозитории Sonatype, что может привести к тому, что злой код попадает в эти пакеты с открытым исходным кодом, сообщила Соума, указывая на исследование сонатипа, что более 700 000 злоумышленных пакетов были обнаружены с 2019 года.
Потребность в чистых библиотеках
В том же исследовании показано, что в 2023 году Maven Central имел более 1,5 триллиона загрузок библиотек, подчеркивая, как зависимые разработчики находятся в библиотеках из публичных реестров. Однако такие реестры, как правило, предпочитают удобство библиотечных издателей в отношении безопасности и безопасности предприятий, использующих их, заявили руководители Chainguard, объявив о предложении библиотек компании.
По их словам, большинство публичных реестров предназначены для низкого трения с минимальным проверком артефактов, которые загружаются в их репозитории. Кроме того, те, которые загружают в них пакеты, не должны обеспечить целостность пакета или обеспечить безопасность с помощью цифровых аттестаций.
«Это большая проблема, особенно для крупных предприятий, которые работают в масштабе [and] В том, что у Соумы, в Sawma мышит тысячи и тысячи разработчиков. «Мы создали библиотеки Chainguard, где мы идем в исходный код для этих библиотек Java. Мы строим их в нашей среде сборки SLSA уровня 2, и мы гарантируем, что не существует компромисса об этом коде, поскольку мы превращаем его в пакет, который затем разработчики могут затем взять и использовать в своей среде ».
Без CVE при рождении
В этом представлении о том, что в них аргумент Chainguard о контейнерных изображениях — что в самих основных пакетах нет CVE. Уязвимости находятся в операционных системах, которые они создают на вершине. Исходной код библиотек Java не содержит CVE, и Chainguard хочет убедиться, что они остаются такими.
Библиотеки Chainguard для Java.
«Мы переходим непосредственно к исходному коду — исходный код, который, как мы знаем, является наиболее безопасным — и мы втягиваем это в наше защищенное здание», — сказал он. «Вот где структура SLSA Level 2 действительно важна.… Мы втягиваем это в нашу среду, и мы можем создать этот мягкий артефакт гораздо более безопасным образом, а затем подключаться непосредственно к тому, как вы распространяете код своим разработчикам».
Chainguard интегрируется с менеджерами по репозиториям программного обеспечения JFROG Artifactory, Cloudsmith и Sonatype Nexus, которые организации используют для предоставления кода для разработчиков внутренне, сказал он, добавив, что «вы просто указываете на нас и получаете безопасную версию всех этого».
Многочисленные проблемы для решения
Как и в случае с изображениями контейнеров, Chainguard через свои библиотеки Java пытается решить две основные проблемы. Первое-это устранение уязвимостей, что, по словам Совимы, в значительной степени означает вмешиваться в актуальность с последними обновлениями в каждом программном обеспечении. Другой — гарантировать, что разработчики точно знают, что в программном обеспечении, которое они получают, и это приходит в то, чтобы перейти к исходному коду. С библиотеками Chainguard поставщик расширяется за пределы контейнеров и в другой слой стека.
Однако, хотя некоторые организации пытаются создать золотые изображения для контейнеров, есть несколько альтернатив, когда дело доходит до библиотек. Большинство из них не собирается восстановить библиотеку артефактов в Центральном Мавен, сказал он. Вместо этого они могут попытаться провести тщательное сканирование, чтобы обнаружить вредоносный артефакт в их среде, что также приводит ко многим ложным срабатывающим средствам.
Баланс
Найти баланс между легкостью и безопасностью нелегко. Если организации принимают жесткую линию, они блокируют библиотеки, которые их разработчики хотят использовать или строить, они пытаются попасть в производство. У них могут быть разработчики сами по себе, но это создает налог на разработчиков; Это больше работы, которую они должны сделать, и это сложно, сказала Совима.
«Разработчику немного сложно поехать и… действительно знает, если этот пакет [they’re] Загрузка вообще не была подделана, — сказал он. — Нет действительно отличных альтернативы для наших библиотек Chainguard, и это большая область риска, о которой знают организации ».
Chainguard начинает с более чем 20 000 зависимостей Java в библиотеках Chainguard, которые поставляются с пятилетним освещением версий. Сейчас она находится в бета -версии, с общей доступностью, ожидаемой в конце этого года.
ВМС в миксе
Соума не хотела давать много подробностей, когда его спрашивали о том, как выглядит будущее для Чаунгара, но сказал: «Везде, где предприятие потребляет открытый исходный код, мы будем двигаться в этом направлении. Вы можете представить себе дополнительные моменты в стеке [and] Другие языки ».
Еще одна из этих областей — виртуальные машины. На выставке Assemble компания представляет VMS Chainguard, предлагая виртуальные изображения, которые, опять же, создаются из источника и не имеют CVES. Виртуальные машины предназначены для облачных рабочих нагрузок и размещены в охраняемых изображениях хоста.
Виртуальные машины являются ключевыми инструментами для запуска рабочих нагрузок в облаке и требуют хоста контейнера, конкретной виртуальной машины, которая включает в себя среду выполнения для запуска контейнера, по словам руководителей Chainguard. Предприятия, как правило, полагаются на серверы общего назначения от провайдеров дистрибуции Linux для хостов контейнеров, но эти системы, как правило, содержат много CVE и компонентов, которые не нужны для хостов.
Chainguard предлагает контейнерные изображения хоста, которые теперь находятся в раннем доступе, которые создаются для каждого крупного облачного поставщика и включают версии для таких управляемых контейнерных служб, как служба Amazon Elastic Kubernetes (EKS) или развертывание контейнеров, управляемые организациями в Amazon Web Services (AWS), Google Cloud Engine или Microsoft Azure.
Trending Stories youtube.com/thenewstack Tech движется быстро, не пропустите эпизод. Подпишитесь на наш канал YouTube, чтобы транслировать все наши подкасты, интервью, демонстрации и многое другое. Группа подпишитесь с эскизом. Джеффри Берт был журналистом более трех десятилетий, последние 20 с лишним лет охватывали технологии. В течение более 16 лет в Eweek и за годы, как в качестве независимого технического журналиста, он рассмотрел все из данных … Подробнее от Джеффри Берта
