SPRACHBIBLIOTHEKEN aus der Quelle erstellt

Eine Malware-resistente Bibliothek ist eine Softwareabhängigkeit, die aus verifiziertem Quellcode in einer manipulationssicheren, sicheren Build-Umgebung neu erstellt wurde. Chainguard-Bibliotheken blockieren beispielsweise proaktiv Malware- und Supply-Chain-Bedrohungen, bevor sie in Ihre Umgebung gelangen, da nur Pakete mit verifizierter, aufbaubarer Quelle enthalten sind - bösartige oder manipulierte Binärdateien schaffen es nie durch. Auf diese Weise erstellte Bibliotheken können Malware im Vergleich zu Paketen, die aus einer öffentlichen Registrierung heruntergeladen werden, um 98 % reduzieren. Wir bauen Chainguard-Bibliotheken in der SLSA Level 2-Infrastruktur auf und bieten vollständige Provenienz und Software Bills of Materials (SBOMs), um Supply-Chain-Angriffe in der Build- und Distributionsphase zu mindern, in der Angreifer typischerweise Malware einschleusen.

Chainguard reduziert das Risiko von Supply-Chain-Angriffen erheblich, indem jede Bibliothek aus verifiziertem Quellcode in einer manipulationssicheren Umgebung neu erstellt wird, um die Einschleusung von bösartigem Code in der Build- und Distributionsphase zu verhindern. Beim Testen gegen 3.025 bekannte bösartige Python-Pakete aus der Backstabber's Knife Collection verhinderte Chainguards Rebuilt-from-Source-Ansatz erfolgreich, dass 98 % dieser kompromittierten Pakete Benutzer erreichten.

Angreifer gefährden oft die Build-Systeme, in denen Pakete kompiliert werden (indem sie vor der Veröffentlichung bösartigen Code wie die XZ-Utils-Backdoor einschleusen), oder entführen die Verteilung, indem sie Entwickler-Anmeldeinformationen stehlen, um bösartige Versionen in Registries wie npm, PyPI oder Maven Central hochzuladen. Da Vertrauen oft angenommen, aber nie von öffentlichen Registern verifiziert wird, verbreiten sich diese Angriffe schnell durch automatisierte Abhängigkeitsaktualisierungen, bevor sie erkannt werden.

"Von Quelle erstellt" bedeutet, dass Chainguard jede Bibliothek aus ihrem ursprünglichen Quellcode-Repository neu erstellt, anstatt vorkompilierte Artefakte aus öffentlichen Registern herunterzuladen. Dies schafft eine vertrauenswürdige, überprüfbare Chain of Custody und eliminiert das Risiko des Verbrauchs von Paketen, die während des Builds oder Uploads manipuliert wurden. Jede Bibliothek wird mit einer vollständigen Provenienz geliefert, die genau beweist, wie, wann und wo sie gebaut wurde.

Chainguard-Bibliotheken unterstützen derzeit JavaScript (npm), Java (Maven) und Python (PyPI) und decken Hunderttausende von Versionen der beliebten Bibliotheken in jedem Ökosystem ab. Basierend auf der Kundennachfrage werden zusätzliche Sprachökosysteme in Betracht gezogen.

Chainguard Libraries können in gängige Artefaktmanager wie JFrog Artifactory, Sonatype Nexus Repository und Cloudsmith integriert werden. Einmal als Upstream-Quelle konfiguriert, ziehen Entwickler vertrauenswürdige Abhängigkeiten automatisch durch Ihre vorhandenen Tools, ohne Ihre Workflows zu ändern.

Jede Chainguard Library wird mit Sigstore-Signaturen (kryptografischer Echtheitsnachweis), einem signierten SBOM (vollständiges Inventar der Komponenten) und SLSA Level 2 Provenienz (Bescheinigung darüber, wie und wo sie gebaut wurde) ausgeliefert. Mit diesen Bescheinigungen können Sie den Ursprung und die Integrität jedes Pakets überprüfen und sicherstellen, dass zwischen Quellcode und Bereitstellung keine Manipulationen stattgefunden haben.

Nein. Bibliotheken erscheinen nur als ein weiteres Upstream-Repository (genau wie PyPI, npm, Maven Central, NuGet), sodass Entwickler Chainguard-Bibliotheken ohne operative Änderungen verwenden können. Das bedeutet, dass Ihre Builds und Umgebungen genauso funktionieren wie zuvor - nur mit signierten, verifizierten Paketen. Keine neuen Werkzeuge erforderlich.

Chainguard backports upstream fixes for critical and high-severity CVEs in popular and highly request Python libraries. Auf diese Weise bleiben Sie geschützt, während Sie Ihr nächstes Versions-Upgrade planen, wodurch der Druck entfällt, sofort auf die neueste Version zu migrieren, nur um Sicherheitsprobleme zu beheben.

Ja. Chainguard-Bibliotheken können eigenständig in jeder Umgebung (Entwicklermaschinen, CI/CD-Pipelines oder Produktion) verwendet werden, in der Ihr Code entwickelt und bereitgestellt wird. Die Kombination von Bibliotheken mit Chainguard-Containern oder VMs bietet jedoch vollständigen Schutz für Ihren gesamten Stack, vom Betriebssystem bis hin zu Anwendungsabhängigkeiten.

FIPS wird mit Chainguard-Containern (und verwandten gehärteten Varianten) angeboten, nicht als Funktion von Chainguard-Bibliotheken. Verwenden Sie Bibliotheken für die sicheren Abhängigkeiten und koppeln Sie sie mit FIPS-Containern/VMs, wenn FIPS-validierte Kryptographie erforderlich ist.

SLSA (Supply-Chain-Levels für Software-Artefakte) Level 2 ist ein Industriestandard-Framework, bei dem Builds auf einer gehärteten Infrastruktur mit automatisierter Provenienzgenerierung durchgeführt werden müssen. Dies stellt sicher, dass Pakete in einer manipulationssicheren, überprüfbaren Umgebung erstellt werden. Für Bibliotheken bedeutet dies, dass Sie einen kryptografischen Beweis dafür erhalten, dass jedes Paket ohne Kompromisse aus verifiziertem Quellcode erstellt wurde, wodurch Angriffe auf die Lieferkette in der Build- und Distributionsphase verhindert werden, in der Angreifer häufig bösartigen Code einschleusen.