Ankündigung von Chainguard-Bibliotheken: Geschützte Java-Sprachabhängigkeiten, die aus der Quelle erstellt wurden
Jetzt in der Beta-Phase.
Wir freuen uns, die Beta-Version von Chainguard Libraries bekannt zu geben, einem Katalog von geschützten Java-Abhängigkeiten, die sicher aus der Quelle in der SLSA-zertifizierten Infrastruktur von Chainguard erstellt wurden. Chainguard Libraries wurde speziell für den sicheren und reibungslosen Unternehmensgebrauch entwickelt und stellt eine Abkehr vom verlegerorientierten Ansatz beliebter öffentlicher Paketregister dar, die nur eine minimale Überprüfung ihrer gehosteten Artefakte anwenden.
Mit Bibliotheken bietet Chainguard seinen Kunden eine standardisierte Quelle für ihre Entwickler, um Sprachbibliotheken sicher zu nutzen, ohne die Sicherheit der Lieferkette zu beeinträchtigen, während gleichzeitig die mit der Paketpflege verbundenen Schwierigkeiten beseitigt und bestehende Entwickler-Workflows beibehalten werden, um Reibungsverluste zu minimieren. Chainguard-Bibliotheken schützen vor Supply-Chain-Angriffen in der Build- und Distributionsphase des Bibliothekslebenszyklus. Letztendlich versetzt Chainguard Libraries Unternehmen in die Lage, Produkte schneller und besser zu entwickeln, ohne die Sicherheit zu beeinträchtigen. In diesem Blogbeitrag werden wir uns mit den Motivationen für den Aufbau von Chainguard-Bibliotheken und dem Wert, den wir unseren Kunden bieten, befassen.
Herausforderungen beim Status Quo-Verbrauch von Sprachbibliotheken
Kunden kommen zu Chainguard, um ihre Anwendungen auf jeder Ebene des Stacks zu sichern – dem Betriebssystem, der Anwendungslaufzeit, den Sprachbibliotheken und ihrem Code. Mit Chainguard Containers bietet Chainguard seit langem eine Lösung für das Betriebssystem und die spezialisierte Anwendungslaufzeit. Aber unsere Unternehmenskunden haben uns wiederholt gebeten, einen sicheren, einfachen Mechanismus für ihre Entwickler zu entwickeln, um auch Sprachbibliotheken zu nutzen. Das liegt daran, dass Entwickler unter dem Status quo Bibliotheken aus beliebten öffentlichen Registern wie Maven, PyPI und NPM ziehen, die seit langem für die Benutzerfreundlichkeit von Publishern optimiert sind und hochgeladene Artefakte nicht auf die Sicherheitsstandards von Unternehmen überprüfen. Bei der Optimierung für Verlage bringen diese öffentlichen Register reale Kosten für Unternehmen mit sich. Dies zeigt sich in der steigenden Anzahl von Supply-Chain-Angriffen in Build- und Distributionsphasen des Abhängigkeitslebenszyklus (siehe Abbildungen 1 und 2 unten).
Die Angriffsfläche von nicht vertrauenswürdigen Bibliotheken ist nicht theoretisch – die Bedrohungen sind real und wachsen schnell. In der Bauphase sind viele Versionen in Maven nicht automatisiert, was bedeutet, dass diese Bibliotheken auf einem lokalen Laptop erstellt werden, der die Sicherheit oder Integrität von Artefakten einfach nicht garantieren kann. Und selbst wenn Releases automatisiert werden, ist die Sicherheit der Lieferkette minimal. Nehmen wir zum Beispiel den jüngsten Angriff auf das Ultralytics Python-Projekt, eine Bibliothek mit mehr als 60 MILLIONEN jährlichen Downloads. Angreifer haben eine Build-Pipeline kompromittiert, um CI/CD-Anmeldeinformationen zu extrahieren, und dann ein bösartiges Modul eingeschleust, das einen Kryptominer einsetzt, um die Kryptowährung des Benutzers zu stehlen.
Die Branche hat auch bemerkenswerte Angriffe in der Vertriebsphase des Paketlebenszyklus gesehen. Im Januar 2024 nutzten Angreifer verlassene Java-Projektdomänen aus und nutzten diesen Einstiegspunkt, um nicht autorisierte Paketersetzungen in Maven Central auszuführen. Der "MavenGate" -Angriff ermöglichte es bösartigen Akteuren, bösartige Pakete in Maven Central hochzuladen und eine Vielzahl beliebter Java-Build-Tools wie Gradle zu beeinträchtigen.
Während die öffentlichen Register daran arbeiten, Best Practices für die Sicherheit zu implementieren, um einige dieser Herausforderungen zu mildern, fehlt den Unternehmen der Luxus der Zeit. Die Probleme bei der Erstellung und Verteilung von Paketen wirken sich heute auf unsere Kunden aus. Und es ist klar, dass der Status quo für den Konsum von Sprachabhängigkeiten gebrochen ist, da Unternehmen einen völligen Mangel an End-to-End-Integrität dafür haben, wie, wo und von wem diese Bibliotheken erstellt wurden.
Chainguards Lösung: Chainguard-Bibliotheken
Um diese Herausforderungen bei der Entwicklung und Bereitstellung von Unternehmensanwendungen zu meistern, haben wir Chainguard-Bibliotheken erstellt, einen Katalog geschützter Sprachabhängigkeiten, der vollständig aus der Quelle in unseren gehärteten Build-Umgebungen erstellt wurde, um Angriffe auf die Lieferkette bei der Paketerstellung und -verteilung zu vermeiden. Chainguard Libraries ermöglicht es Engineering-Organisationen, Sicherheitsbedrohungen der Lieferkette aus Sprachabhängigkeiten zu eliminieren, ohne die Produktivität der Entwickler oder eine reibungslose Erfahrung zu beeinträchtigen.
Java ist eines der wichtigsten Open-Source-Ökosysteme für Unternehmensentwickler weltweit und rangiert häufig in den Top 3 der am häufigsten verwendeten Sprachen. Allein Maven Central verzeichnete im Jahr 2024 über 1,5 Billionen Pull-Anfragen, was einem Wachstum von über 36 % im Jahresvergleich entspricht. Chainguard-Kunden haben wiederholt betont, dass ihr Java-Fußabdruck riesig ist und wächst. Aus diesem Grund baut Chainguard über 20.000 der beliebtesten Java-Projekte mit 5 Jahren Versionsabdeckung auf. Und wir planen, unser Produktportfolio auf der Grundlage von Kundenfeedback auf andere Ökosysteme auszuweiten.
Es gibt ein paar wichtige Wertesäulen, die wir mit Chainguard Libraries für Java liefern werden:
Härtung gegen Supply-Chain-Angriffe: Supply-Chain-Angriffe, die aus kompromittierten Build-Systemen und Paketverteilungsmechanismen resultieren, haben sich schnell verbreitet. Diese Angriffe sind eine direkte Folge des Konsums von Sprachbibliotheken durch Entwickler, denen es an ausreichender Überprüfung, Herkunft und Build-Sicherheit mangelt. Chainguard-Bibliotheken schützen Unternehmen vor diesen Formen von Angriffen, indem sie Bibliotheken vollständig von der Quelle in unserer gehärteten Umgebung mit End-to-End-Integrität für Builds, Tests und Distributionen erstellen.
Reibungslose Entwicklererfahrung: Um das Problem unsicherer Sprachbibliotheken anzugehen, übernehmen Unternehmen häufig manuelle oder richtlinienbasierte Kurationsprogramme. Diese Ansätze können jedoch Entwicklungszyklen verlangsamen, da sie bestehende Entwickler-Workflows blockieren und Reibungsverluste verursachen. Zum Beispiel ist es unhaltbar und selbstzerstörerisch, von Entwicklern zu verlangen, ein IT-Ticket zu öffnen, wenn sie ein neues Java-Projekt für die Entwicklung verwenden möchten, und sie auf wochenlange Genehmigungsabläufe warten zu lassen. Chainguard-Bibliotheken lassen sich in gängige Artefaktmanager integrieren, um reibungslose Entwickler-Workflows zu erhalten und die mit der internen Kuration verbundenen Schwierigkeiten zu beseitigen, ohne die Sicherheit der Lieferkette zu beeinträchtigen. Dieses Gleichgewicht hilft Unternehmen, Software schnell zu versenden und gleichzeitig sicher zu bleiben.
Standardisierung von Open Source: Chainguards Ziel ist es, einen standardisierten Endpunkt für alle Sprachökosystem-Bibliotheken zu erstellen. Durch die Standardisierung der Entwicklerverwendung von Open-Source-Bibliotheken auf eine sichere Quelle erhalten Unternehmen eine tiefere Transparenz darüber, welche Open-Source-Bibliotheken wo verwendet werden, und eliminieren Schatten-IT.
Erste Schritte mit Chainguard-Bibliotheken für Java
Wir freuen uns auf Ihr Feedback, wenn Sie mit der Erstellung von Chainguard-Bibliotheken beginnen. Ihr Feedback wird eine Schlüsselrolle bei der Gestaltung der Zukunftspläne von Chainguard spielen, um zusätzliche Fähigkeiten zu integrieren, die noch mehr Wert bieten.
Wenn Sie mehr darüber erfahren möchten, wie Chainguard Libraries Ihre Software-Lieferkette verändern können, wenden Sie sich noch heute an uns. Bestehende Kunden von Chainguard Containers können mit Chainguard Libraries beginnen, indem sie sich an Ihre Account-Teams wenden und unsere Dokumente durchsuchen.
Share this article
Related articles
- product
Forrester TEI study: Chainguard Containers delivered 233% return on investment
Dustin Kirkland, SVP of Engineering
- product
Expanding Chainguard’s Helm chart coverage and deepening user experiences
Sam Katzen, Staff Product Marketing Manager, and Tazin Progga, Senior Product Manager
- product
Introducing Fulfillment Dashboard: New artifact requests are now self-serve
Sam Katzen, Staff Product Marketing Manager, and Reid Tatoris, VP of Product
- product
Super SBOMs: See exactly what's inside
Tony Camp, Staff Product Manager
- product
Security baked into your software supply chain: The combined benefit of JFrog and Chainguard
Mandy Hubbard, Senior Technical Product Marketing Manager, and Dafna Zahger Bernanka, JFrog Director of Product Marketing, Security
- product
Introducing automatic, short-lived credentials for Chainguard Libraries for Python
Jason Hall, Principal Software Engineer, and Ross Gordon, Staff Product Marketing Manager