Die standardmäßig sichere Zukunft von Open Source gestalten
Chainguard entwickelt und wartet eine offene Toolchain für die sichere Softwarebereitstellung, trägt Upstream-Fixes bei und leitet kritische Projekte im gesamten Cloud-Native-Ökosystem. Wir geben etwas zurück, weil es das Richtige ist – nicht um Punkte zu sammeln, sondern um das gesamte Ökosystem für alle sicherer zu machen.
100+
Aktiv gepflegte Projekte, an denen aktiv mitgewirkt wird.
18+
Führungspositionen in kritischen OSS-Stiftungen.
Automatisiert
Bots überwachen Upstream auf neue Sicherheits-Releases.
Upstream-First
Fehlerbehebungen, bevor Scanner Schwachstellen erkennen.
UNSERE OPEN-SOURCE-TOOLS
Die Tools, die wir entwickeln und pflegen
Essenzielle Infrastruktur für eine standardmäßig sichere Softwarebereitstellung.
Wolfi
Eine Community-Linux-(Un-)Distribution, entwickelt für Container und Cloud-native Workloads. Mit Sicherheit als oberste Priorität konzipiert, bietet sie von Grund auf vollständige Provenienz und SBOM-Unterstützung.
Octo-STS
OIDC-Token-Austausch für GitHub Actions, der eine sichere, schlüssellose Authentifizierung für CI/CD-Workflows ermöglicht. Schließt die Lücke zwischen GitHub Actions und externen Identitätsanbietern.
gitsign
Ermöglicht das mühelose Signieren von Commits und Tags in CI-Umgebungen. Durch die Nutzung der schlüssellosen Signierung von Sigstore bringt es kryptografische Verifizierung in Ihre Git-Historie, ohne den Aufwand der Schlüsselverwaltung.
digestabot
Hält Image-Digests durch automatisierte PRs aktuell. Verhindert Supply-Chain-Angriffe, indem sichergestellt wird, dass Deployments verifizierte Image-Versionen referenzieren.
dfc (Dockerfile Converter)
hilft Teams beim Übergang von herkömmlichen Dockerfiles zu deklarativen, reproduzierbaren apko- und melange-Konfigurationen. Dieser Migrationshelfer beschleunigt den Weg zu sichereren, wartungsfreundlicheren Container-Builds.
Terraform Provider
Erstellen, signieren, attestieren, testen und veröffentlichen Sie Container-Images vollständig als Infrastructure-Code. Keine manuellen Schritte, kein Drift, nur reproduzierbare Builds.
Bazel rules_apko
Bazel-Regeln für hermetische Image-Builds mit fixierten Abhängigkeiten. Integriert die Erstellung sicherer Container nahtlos in Bazel-Workflows.
apko
Deklarativer OCI-Image-Builder, der minimale, reproduzierbare Container-Images mit Attestierungen und SBOMs erstellt. Eliminiert die Komplexität herkömmlicher Dockerfile-Builds.
melange
Deklaratives APK-Paketierungssystem mit Multi-Architektur-Unterstützung, integrierten Lintern und Signierungsfunktionen. Ermöglicht die moderne, sichere Softwareverteilung vom Quellcode bis zum Paket.
COMMUNITY-BEITRÄGE
Open-Source-Projekte, an denen wir mitwirken
Teammitglieder von Chainguard entwickeln, pflegen und leiten einige der am weitesten verbreiteten Open-Source-Projekte.
Kubernetes
Sigstore
SLSA
Tekton
Knative
Cosign
Rekor
gitsign
Wolfi
Trino
STIFTUNGSMITGLIEDSCHAFTEN
Aktive Mitwirkung im gesamten Ökosystem
Wir unterstützen die Organisationen, die die Zukunft von Open Source gestalten, und wirken in ihnen mit.
Linux Foundation
CNCF
OpenSSF
OCI
Continuous Delivery Foundation
WIE WIR BEITRAGEN
Upstream-First-Philosophie
Wir bauen nicht nur auf Open Source auf – wir verbessern es für alle
Upstream-First-Ansatz
Wir führen routinemäßig Fehlerbehebungen und Funktionen über den gesamten Stack hinweg in die Upstream-Projekte zurück – von der Härtung auf Kernel-Ebene bis zur Anwendungssicherheit. Keine langlebigen Downstream-Patches, sondern Beiträge, die dem gesamten Ökosystem zugutekommen. Wir gehören zu den Top-100-Beitragsleistern für CNCF-Projekte.
Entwicklung von Sicherheitsfixes
Wenn Upstream-Projekte im Verzug sind, übernehmen wir die Initiative. Wir haben Patches für kritische CVEs in BusyBox, LangChain und anderen wesentlichen Komponenten erstellt und eingereicht, um sicherzustellen, dass das gesamte Ökosystem von unserer Sicherheitsforschung profitiert.
Advisory-Feeds & Scanner-Integrationen
Wir veröffentlichen Schwachstellenmeldungen in den Formaten OSV und secdb und betreiben zeitgesteuerte Pipelines, um Sicherheitsscanner im gesamten Ökosystem präzise und aktuell zu halten.
REALE AUSWIRKUNGEN
CVE-Behebung in der Praxis
Beispiele dafür, wie wir Schwachstellen im Upstream beheben, nicht nur im Downstream
BusyBox-CVE-Patches
Als langjährige BusyBox-CVEs im Upstream ungepatcht blieben, entwickelten Chainguard-Ingenieure Patches und reichten diese bei den BusyBox-Maintainern ein. Wir haben CVE-2025-46394 und CVE-2024-58251 behoben und die Lösungen beigesteuert, damit alle Linux-Distributionen davon profitieren können – nicht nur unsere eigenen Nutzer.
Schnelle Reaktion
Wenn Schwachstellen entdeckt werden, patchen wir nicht nur unsere eigenen Images. Wir tragen Fehlerbehebungen Upstream bei, damit die gesamte Open-Source-Community davon profitiert. Unsere Ingenieure reichen regelmäßig Patches, Pull-Requests und Sicherheitshinweise bei Upstream-Projekten ein.
Ecosystem-wide benefits
Our upstream contributions mean that Alpine Linux, Debian, Ubuntu, and other distributions can integrate our security fixes. We believe in strengthening the entire ecosystem, not just building walls around our own products.
AUTOMATISIERTE SICHERHEIT
Schwachstellen beheben, bevor sie entdeckt werden
Unser automatisiertes Rebuild-System liefert Sicherheits-Fixes schneller als herkömmliche Schwachstellen-Scans
Automatisierte Upstream-Überwachung
Unsere Bots überwachen Upstream-Projekte kontinuierlich auf neue Releases. Sobald Sicherheitspatches veröffentlicht werden, öffnet unser System automatisch Pull-Requests, um Pakete neu zu erstellen – ohne auf die Aktualisierung von CVE-Datenbanken warten zu müssen.
Stunden, nicht Wochen
Als Go die Version 1.20.6 zur Behebung von CVE-2023-29406 veröffentlichte, lieferten wir innerhalb weniger Tage gepatchte Images aus. Herkömmliche Scanner konnten die Schwachstelle noch nicht einmal erkennen – die NVD hatte die erforderlichen Daten noch nicht veröffentlicht, und die meisten Scanner ignorieren Probleme in der Standardbibliothek.
Kaskadierende Rebuilds
Ein einziger Sicherheitspatch löst automatische Rebuilds über alle betroffenen Pakete hinweg aus. Als wir Go gepatcht haben, wurden alle 192 Go-basierten Pakete in Wolfi mit dem Fix neu erstellt – einschließlich cert-manager, etcd, Kubernetes-Komponenten und Terraform.
Das Ergebnis
Eliminieren Sie Risiken aus kompromittierten Build-Systemen und gekaperten Paketverteilungsmechanismen, um Malware-Angriffe wie XZ-Utils, MavenGate und npm Shai-Hulud zu mindern.
NACHHALTIGE BETREUUNG
Chainguard EmeritOSS
Sichere, planbare Wartung für reife Open-Source-Projekte, die Stabilität erreicht haben.
Kaniko
Als Google Kaniko im Jahr 2025 archivierte, sind wir eingesprungen, um reinen Wartungssupport anzubieten. Wir liefern CVE-Fixes, Updates von Abhängigkeiten und gewartete Images, um den sicheren Betrieb der Kunden-Workloads während ihrer Migrationsphase zu gewährleisten.
Kubeapps
Ein beliebtes Tool für die Bereitstellung und Verwaltung von Anwendungen in Kubernetes-Clustern. Da die Maintainer natürliche Übergänge im Lebenszyklus erreicht haben, stellen wir sicher, dass Kubeapps sicher und betriebsbereit bleibt, um Teams die Stabilität zu geben, die sie während ihrer Migrationsplanung benötigen.
ingress-nginx
Ein kritischer Ingress-Controller, der in unzähligen Kubernetes-Deployments eingebettet ist. Unsere auf Stabilität ausgerichtete Wartung gibt Teams die Sicherheit, den Betrieb weiterhin sicher fortzuführen, während sie ihren Migrationspfad evaluieren.
MinIO
Entwickelt für Cloud-native- und Kubernetes-Umgebungen bietet MinIO skalierbaren, langlebigen Speicher für Data Lakes, Backups, Artefaktspeicher und Machine-Learning-Workloads. Mit EmeritOSS werden wir dieses leistungsstarke Open-Source-Objektspeichersystem weiterhin unterstützen.
PgCat
PgCat ist ein PostgreSQL-Connection-Pooler und Proxy, der Sharding, Lastverteilung, Failover und Mirroring unterstützt. Es ist eine robuste Alternative zum klassischen PgBouncer, die wir gerne unterstützen.
PushProx
Prometheus PushProx ist eine clevere Proxy- und Client-Lösung, die es Prometheus ermöglicht, Targets selbst hinter NATs oder Firewalls zu scrapen, während das vertraute Pull-basierte Modell beibehalten wird. Dies erleichtert die Überwachung von Umgebungen erheblich, in denen ein direktes Scraping nicht möglich ist.