Запуск безопасности цепочки поставок Chainguard провел последние четыре с лишним лет, пытаясь изменить способ, которым разработчики и предприятия смотрят и используют контейнеры, и компоненты с открытым исходным кодом, которые попадают внутрь.
Как правило, эти изображения поставляются с любым количеством CVE в них, заставляя разработчиков охотиться на них и создавать трудоемкий процесс, необходимый для исправления и управления ими. Основатели Chainguard чувствовали, что существует лучший способ построить контейнер — по сути, начиная с чистого изображения и наращивания оттуда.
Результатом стал растущий список изображений Chainguard, компонентов с открытым исходным кодом, которые поставляются без CVE, которые могут выбирать организации, своего рода магазин приложений. Идея привлекла внимание инвестиционной толпы, поскольку компания Kirkland, базирующаяся в Вашингтоне, получила более 250 миллионов долларов с четырех раундов, в том числе 140 миллионов долларов прошлым летом, что увеличило его оценку до более чем 1,12 миллиарда долларов.
Теперь Chainguard облегчает своим клиентам-в 2024 году он увидел пятикратный годовой рост в своей клиентской базе-чтобы увидеть преимущества, которые они получают от использования технологии поставщика.
Визуализация CVE
Компания на этой неделе объявила об общей доступности визуализации CVE, последней возможности в консоли Chainguard, единственном месте, где можно получить информацию обо всем, от безопасности до обновлений продуктов. Благодаря новой функции организации могут лучше определить инженерные, безопасные и финансовые выгоды, которые связаны с использованием изображений CHAINGAURD без CVE.
Возможности включает в себя количество CVES Chainguard, исправленное на изображениях с течением времени (и количество команд инженеров, сохраненных из -за того, что они не имели дело с ними), и то, как уровень накопления CVE Chainguard сравнивается с другими опциями с открытым исходным кодом. Кроме того, визуализации CVE интегрированы в каталог Chainguard, что позволяет любому разработчику оценить и сравнить изображения контейнеров
CVE Визуализация Python сравнить
Визуализация CVE разрешила CVE
Руководители Chainguard приходят к потенциальным клиентам с таблицами и графами, показывающими, как их изображения CVE-Clean складываются с тем, что предприятие использует в то время и как это выиграет, поступая с Chainguard, по словам Джулиана Данна, старшего директора по управлению продуктами в Chainguard Полем Теперь у клиентов есть персонализированный отчет, показывающий, как эти преимущества накапливались за месяцы и годы, которые они использовали изображения Chainguard, что является хорошим напоминанием о том, почему они в первую очередь внесли изменения.
«Через шесть месяцев они забыли сюжет, или их начальники забыли», — сказал Данн новой стеке. «Они говорят:« Что изменилось »или« что вы сделали для меня в последнее время? Мы подписали этот контракт шесть месяцев назад. Как это на самом деле обеспечило ценность? Наличие такого рода временных элементов, сколько [CVEs] Мы исправляли с течением времени, помогает людям внутри тех клиентов, которые совершили эту покупку-или когда они рассматривают возможность расширения в других бизнес-подразделениях-обучение самих имеет своевременную, актуальную информацию, которая персонализируется ».
По его словам, они могут видеть объем работы, которой они избежали, с тех пор, как подписывались с Chainguard, и сколько стоила бы за CVE для исправления. Клиенты могут связать сервис, который они получают от поставщика с временем и экономией стоимости, которые поставляются с их инженерами, не должны выполнять работу самостоятельно.
Программное обеспечение в крови
Четыре основателя Chainguard пришли с многолетним опытом в мире программного обеспечения, давая им из первых рук, как можно лучше создавать изображения контейнеров. Генеральный директор Дэн Лоренк и технический директор Мэтт Мур остановились на разработке программного обеспечения в Google и Microsoft — с Мур также некоторое время приземляется в VMware — и главный сотрудник по продукту Ким Левандовски также занимал время Google. Точно так же, выдающийся инженер Ville Aikas имеет Google и VMware в своем резюме.
Данн приехал в Chainguard 10 месяцев назад, после того, как управление продуктом встало в такие места, как Github, Pagerduty и Chef. Его опыт был в программном обеспечении, но он был заинтригован тем, что делал Chainguard, предлагая организациям контейнерные изображения без CVE. Это не так, как работал мир разработчиков.
Новое направление
Чаунгуард увидел это другим способом. В контейнерных изображениях было так много CVE не потому, что в основном упаковке были уязвимости — Python, например, — но потому, что они были построены на полных операционных системах, которые привели с собой CVE. Кроме того, то, как были построены контейнеры, исходит из того, как были созданы и управляемые серверы: очень дорогие машины, загруженные всем программным обеспечением для множества целей, для которых использовалась система.
В мире контейнеров, которые, как правило, построены специально для одной задачи. По словам Данна, контейнер Python работает за одну услугу, поэтому ему не нужно всего всего вокруг. Снять полное изображение, а затем попытаться удалить ненужные и низкокачественные компоненты, сложно и может привести к нарушению Python.
Chainguard берет другое направление: с Python, каков минимальный уровень зависимостей, которые он должен работать. Есть библиотека C и связанная цепочка зависимостей.
«Мы сделали все это отображение зависимости только один раз», — сказал он. «Тогда мы собираемся построить контейнер ни с чем. Вместо того, чтобы начинать с чего -то и удалять с него компоненты, мы начнем с пустого контейнера и просто скажем: «Начиная с Python, какой список всех минимальных вещей, которые вам нужно, чтобы получить для этого интерпретатора Python. ? «» «»
По словам Данна, именно поэтому контейнеры Chainguard меньше, чем в проектах с открытым исходным кодом. В основе всего этого лежит Wolfi, настраиваемое распределение Linux от Chainguard-или то, что они называют (ООН) распределение-которое построено с безопасностью по умолчанию для цепочки поставок.
По словам Данна, в каталоге компании содержится почти 1200 изображений CVE-CLEAN различных компонентов с открытым исходным кодом, а в будущем появится больше в будущем. Возьмите изображение, разверните приложение, а затем начните строить. Кроме того, прошлым летом Chainguard расширила свои возможности на рабочие нагрузки ИИ и крупные языковые модели (LLMS), сделав создание этих приложений более безопасными.
Зачем жить с уязвимостями?
Разработчики только что привыкли к тому, что на их изображениях будут уязвимости. Данн сказал, что это не имеет смысла, сравнивая его с идеей покупки еды в супермаркете без Министерства сельского хозяйства, чтобы обеспечить безопасность еды. По его словам, если у покупателя продуктов питания в этом мире было мышление разработчиков, они будут рассматривать риск покупки небезопасной еды как стоимость ведения бизнеса.
Кроме того, рейтинг CVE — некоторые критические, которые требуют немедленного внимания, а другие менее опасны, с которыми можно справиться позже — хотя и полезно, все еще создает и оставляет недостатки на поверхности атаки. Плохие актеры могут рассмотреть возможность более выгодных уязвимостей более безопасными способами попадания в систему.
«Чингвинг просто меняет игру», — сказал он. «Почему приемлемо, что любое изображение — почему это приемлемо для любой среды, в которой вы используете и создаете программное обеспечение — имеет какие -либо уязвимости?» Данн спросил. «И почему мы говорим:« Мы собираемся устранить только худшие материальные заболевания в нашей еде и все эти другие, которые не вызывают ужасного эффекта … мы не будем об этом беспокоиться.
«В физическом мире мы не согласились бы, так почему мы принимаем это в мире программного обеспечения?»
Trending Stories youtube.com/thenewstack Tech движется быстро, не пропустите эпизод. Подпишитесь на наш канал YouTube, чтобы транслировать все наши подкасты, интервью, демонстрации и многое другое. Группа подпишитесь с эскизом. Джеффри Берт был журналистом более трех десятилетий, последние 20 с лишним лет охватывали технологии. В течение более 16 лет в Eweek и за годы, как в качестве независимого технического журналиста, он рассмотрел все из данных … Подробнее от Джеффри Берта
